Sponsor Malware: cos'è e perché è così temuto da governi e ospedali

Sponsor Malware, l'attacco informatico di un gruppo di hacker iraniano che preoccupa gli esperti di sicurezza: ecco di cosa si tratta.
Marco Ponteprino
Pubblicato il 13 set 2023
Sponsor Malware: cos'è e perché è così temuto da governi e ospedali

Online si sta diffondendo un nuovo e temibile attacco informatico, noto come Sponsor Malware, che sembra avere una particolare predilezione per governi e istituti ospedalieri.

Questo agente malevolo è collegato a Ballistic Bobcat, gruppo considerato sotto l’influenza del governo iraniano e attivo già nel periodo della pandemia. Secondo ESET, il collettivo di hacker è riconducibile anche ad altre campagne malware come APT35, APT42, Charming Kitten, TA453 e PHOSPHORUS.

Sponsor Malware, a quanto pare, ha alcune predilezioni territoriali. L’agente, infatti, finora ha preso di mira diversi contesti in Brasile, Israele ed Emirati Arabi Uniti, con un totale di 34 vittime finora accertate. Secondo i dati ottenuti da ESET, però, in ogni paese il modus operandi degli hacker presenta delle piccole differenze.

La campagna Sponsor Malware sfrutta una vulnerabilità di Microsoft Exchange

Al momento Sponsor Malware lavora attraverso un exploit di Microsoft Exchange, strumento già vittima in passato di attacchi simili. L’agente malevolo utilizza file di configurazione innocui e un approccio modulare per eludere le scansioni: una tattica utilizzata frequentemente da Ballistic Bobcat da oltre due anni, così come l’utilizzo di strumenti open source.

Il paese finora più colpito sembra essere Israele. Nel paese, infatti, sono stati registrati casi nel settore automobilistico, nel contesto assicurativo, in quello dell’assistenza sanitaria e nell’industria tecnologica e delle telecomunicazioni.

Tra gli strumenti open source utilizzati nell’operazione figurano:

  • host2ip.exe
  • RevSocks
  • Mimikatz
  • Armadillo PE packer
  • GO Simple Tunnel (GOST)
  • Chisel
  • csrss_protected.exe
  • Plink (PuTTY Link)
  • WebBrowserPassView.exe
  • sqlextractor.exe
  • ProcDump

Nonostante Sponsor Malware non ha fatto registrare casi in Italia o nelle nazioni limitrofe, è bene sempre tenere alto il livello d’attenzione.

Per i comuni utenti, di fatto, oltre alla prudenza anche l’adozione di un antivirus adeguato può evitare di cadere in trappole come quella orchestrata dagli hacker di Ballistic Bobcat.

Ti consigliamo anche

GitHub: scoperti 3.000 account che diffondono malware
Vulnerabilità

GitHub: scoperti 3.000 account che diffondono malware
Hamster Kombat, rischio malware per milioni di videogiocatori
Vulnerabilità

Hamster Kombat, rischio malware per milioni di videogiocatori
EvilVideo, l'exploit zero-day Telegram sfruttato per nascondere malware
Vulnerabilità

EvilVideo, l'exploit zero-day Telegram sfruttato per nascondere malware
Google Play Store, scansione malware: Play Protect migliora ancora
Sicurezza

Google Play Store, scansione malware: Play Protect migliora ancora
Link copiato negli appunti