Cibercriminales aprovechan vulnerabilidades informáticas para atacar organizaciones
El equipo ESET, compañía líder en detección proactiva de amenazas, detectó una campaña activa de un backdoor no documentado al que bautizaron Sponsor. Un backdoor es un código de programación malicioso que permite al cibercriminal evitar los sistemas de seguridad para acceder a los equipos.
El grupo APT detrás del backdoor es Ballistic Bobcat. Es un supuesto grupo de amenazas persistentes avanzadas que tiene como objetivo organizaciones educativas, gubernamentales y sanitarias, así como activistas de derechos humanos y periodistas. En particular, durante la pandemia se dirigió contra organizaciones relacionadas con COVID-19, incluidas la Organización Mundial de la Salud y contra personal de investigación médica.
El backdoor Sponsor utiliza archivos de configuración en el disco, que se eliminan mediante archivos por lotes, y ambos son inocuos para evitar los motores de escaneado. Este enfoque modular es uno de los que Ballistic Bobcat ha utilizado con bastante frecuencia y con modesto éxito en los últimos dos años y medio. En los sistemas comprometidos, Ballistic Bobcat también sigue utilizando diversas herramientas de código abierto.
Ballistic Bobcat obtuvo el acceso inicial aprovechando vulnerabilidades conocidas en servidores Microsoft Exchange expuestos a Internet, realizando primero escaneos meticulosos del sistema o la red para identificar posibles puntos débiles o vulnerabilidades, y posteriormente atacando y explotando esos puntos débiles identificados. Se sabe desde hace tiempo que el grupo lleva a cabo esta conducta. Sin embargo, muchas de las 34 víctimas identificadas en la telemetría de ESET podrían describirse mejor como víctimas de oportunidad en lugar de víctimas preseleccionadas e investigadas
Ballistic Bobcat sigue operando con un modelo de exploración y explotación, buscando objetivos de oportunidad con vulnerabilidades sin parchear en servidores Microsoft Exchange expuestos a Internet. El grupo sigue utilizando un variado conjunto de herramientas de código abierto complementado con varias aplicaciones personalizadas, incluido su backdoor Sponsor. Una buena práctica indicada por ESET para proteger a las organizaciones sería parchear todos los dispositivos expuestos a Internet y permanecer atentos a las nuevas aplicaciones que aparezcan.
