Iranische Hackergruppe spioniert Unternehmen aus
Ballistic Bobcat greift Organisationen in verschiedenen Ländern an
Neue Backdoor namens Sponsor entdeckt
Vorgehen der Hackergruppe und Bedeutung von Schwachstellenmanagement
Ballistic Bobcat ist bereits seit längerem aktiv
Die aus dem Iran stammende Hackergruppe Ballistic Bobcat hat seit September 2021 Organisationen in verschiedenen Branchen und Ländern angegriffen. Der Großteil der 34 betroffenen Unternehmen befindet sich in Israel, aber auch in Brasilien und den Vereinigten Arabischen Emiraten. Die Kriminellen haben es auf wertvolle Daten in den Bereichen Industrie, Finanzen, Medien, Gesundheitswesen und Telekommunikation abgesehen. Dabei nutzen sie eine neue Backdoor namens Sponsor, die von den ESET-Forschern entdeckt wurde.
Die Vorgehensweise der Hackergruppe zeigt, warum Unternehmen dringend ein Schwachstellenmanagement implementieren sollten. Ballistic Bobcat führt eine „Scan-Exploit-Kampagne“ durch, bei der ungepatchte Schwachstellen in Unternehmen automatisiert analysiert werden. In diesem Fall wurde die bekannte Sicherheitslücke CVE-2021-26855 in Microsoft Exchange Servern ausgenutzt. Sobald diese Lücke in einer Organisation vorhanden war, konnten die Hacker weiteren Schadcode installieren. Die ESET Telemetrie zeigt, dass diese Taktik bereits seit September 2021 eingesetzt wird. Es handelt sich dabei vermutlich nicht um eine gezielte Kampagne, sondern um einen breit angelegten Angriff. Die betroffenen Unternehmen weisen kaum Gemeinsamkeiten auf und einige von ihnen hatten keine wertvollen Informationen für die Hacker. Interessanterweise war Ballistic Bobcat in knapp der Hälfte der Fälle nicht der einzige Angreifer im Netzwerk. Es gibt Hinweise darauf, dass andere Hackergruppen zuvor die Schwachstelle ausgenutzt haben.
Ballistic Bobcat verwendet eine Vielzahl von quelloffenen Tools, einschließlich der Backdoor Sponsor. Unternehmen sollten daher alle Geräte mit Internetzugang patchen und auf neue Anwendungen achten, die in ihren Netzwerken auftauchen, empfiehlt der ESET-Forscher Adam Burgher.
Ballistic Bobcat, auch bekannt als APT35/APT42 („Charming Kitten“ oder PHOSPHORUS), hat in der Vergangenheit Bildungs-, Regierungs- und Gesundheitsorganisationen sowie Menschenrechtsaktivisten und Journalisten angegriffen. Während der Pandemie waren vor allem Organisationen im Zusammenhang mit COVID-19 im Visier, darunter die Weltgesundheitsorganisation und Gilead Pharmaceuticals sowie Mitarbeiter in der medizinischen Forschung.
Weitere technische Informationen über Ballistic Bobcat und seine Sponsoring-Access-Kampagne finden Sie in dem Blogpost „Sponsor mit Schnurrhaaren: Ballistic Bobcats Scan- und Strike-Backdoor“ auf WeLiveSecurity. Mehr Informationen zum Thema Patch-Management finden Sie in unserem Blog „Die Renaissance des Patch-Managements“.