{"id":18874,"date":"2023-09-16T22:57:51","date_gmt":"2023-09-17T02:57:51","guid":{"rendered":"https:\/\/www.notaoficial.com\/s\/?p=18874"},"modified":"2023-09-16T22:57:51","modified_gmt":"2023-09-17T02:57:51","slug":"eset-identifico-un-nuevo-backdoor","status":"publish","type":"post","link":"https:\/\/www.notaoficial.com\/s\/2023\/09\/16\/eset-identifico-un-nuevo-backdoor\/","title":{"rendered":"ESET identific\u00f3 un nuevo backdoor"},"content":{"rendered":"

Francisco D’Agostino<\/p>\n

El equipo ESET<\/a>, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, detect\u00f3 una campa\u00f1a activa de un backdoor no documentado al que bautizaron Sponsor. El mismo atac\u00f3 a 34 organizaciones repartidas entre Brasil, Israel y los Emiratos \u00c1rabes Unidos.<\/p>\n

El grupo APT detr\u00e1s del backdoor es Ballistic Bobcat. Es un supuesto\u00a0grupo de amenazas persistentes avanzadas alineado con Ir\u00e1n<\/a>\u00a0que tiene como objetivo organizaciones educativas, gubernamentales y sanitarias, as\u00ed como activistas de derechos humanos y periodistas. Es m\u00e1s activo en Israel, Oriente Pr\u00f3ximo y Estados Unidos. En particular, durante la pandemia se dirigi\u00f3 contra organizaciones relacionadas con COVID-19, incluidas la Organizaci\u00f3n Mundial de la Salud y Gilead Pharmaceuticals, y contra personal de investigaci\u00f3n m\u00e9dica.<\/p>\n

\u201cDescubrimos Sponsor despu\u00e9s de analizar una muestra detectada en el sistema de una v\u00edctima en Israel en mayo de 2022 y analizamos el conjunto de v\u00edctimas por pa\u00eds. Tras examinar la muestra, nos dimos cuenta de que se trataba de un nuevo backdoor desplegado por el grupo Ballistic Bobcat APT. Los solapamientos entre las campa\u00f1as de Ballistic Bobcat\u00a0y\u00a0las versiones backdoor de Sponsor muestran un patr\u00f3n bastante claro de desarrollo y despliegue de la herramienta, con campa\u00f1as dirigidas a objetivos concretos y de duraci\u00f3n limitada. Posteriormente, descubrimos otras cuatro versiones del backdoor Sponsor. En total, vimos el despliegue de Sponsor en al menos 34 v\u00edctimas en Brasil, Israel y los Emiratos \u00c1rabes Unidos.\u201d, <\/i>comenta Adam Burgher, analista de amenazas de ESET.<\/p>\n

Ballistic Bobcat obtuvo el acceso inicial aprovechando vulnerabilidades conocidas en servidores Microsoft Exchange expuestos a Internet, realizando primero escaneos meticulosos del sistema o la red para identificar posibles puntos d\u00e9biles o vulnerabilidades, y posteriormente atacando y explotando esos puntos d\u00e9biles identificados. Se sabe desde hace tiempo que el grupo lleva a cabo esta conducta. Sin embargo, muchas de las 34 v\u00edctimas identificadas en la telemetr\u00eda de ESET podr\u00edan describirse mejor como v\u00edctimas de oportunidad en lugar de v\u00edctimas preseleccionadas e investigadas, ya que desde ESET sospechan que Ballistic Bobcat llev\u00f3 a cabo el comportamiento de escaneo y explotaci\u00f3n descrito anteriormente porque no era el \u00fanico actor de amenazas con acceso a estos sistemas.<\/p>\n

Francisco D’Agostino<\/p>\n

El backdoor Sponsor utiliza archivos de configuraci\u00f3n en el disco, que se eliminan mediante archivos por lotes, y ambos son inocuos para evitar los motores de escaneado. Este enfoque modular es uno de los que Ballistic Bobcat ha utilizado con bastante frecuencia y con modesto \u00e9xito en los \u00faltimos dos a\u00f1os y medio. En los sistemas comprometidos, Ballistic Bobcat tambi\u00e9n sigue utilizando diversas herramientas de c\u00f3digo abierto.<\/p>\n

Pie de imagen: Distribuci\u00f3n geogr\u00e1fica de las entidades objetivo de Ballistic Bobcat<\/i><\/p>\n

La mayor\u00eda de las 34 v\u00edctimas se encontraban en Israel, y s\u00f3lo dos en otros pa\u00edses:<\/p>\n