الراعي ذو الشوارب المجمعة: مسح الباليستية بوبكات وضرب الباب الخلفي

اكتشف باحثو ESET حملة Ballistic Bobcat تستهدف كيانات مختلفة في البرازيل وإسرائيل والإمارات العربية المتحدة، باستخدام باب خلفي جديد أطلقنا عليه اسم Sponsor.

لقد اكتشفنا الراعي بعد أن قمنا بتحليل عينة مثيرة للاهتمام اكتشفناها على نظام الضحية في إسرائيل في مايو 2022 وحددنا نطاق الضحية حسب البلد. وبعد الفحص، اتضح لنا أن العينة كانت عبارة عن باب خلفي جديد نشرته مجموعة Ballistic Bobcat APT.

يُشتبه في أن Ballistic Bobcat، الذي تم تتبعه سابقًا بواسطة ESET Research باسم APT35/APT42 (المعروف أيضًا باسم Charming Kitten أو TA453 أو PHOSPHORUS)، مجموعة التهديد المستمر المتقدمة المتحالفة مع إيران والتي تستهدف مؤسسات التعليم والحكومة والرعاية الصحية، بالإضافة إلى نشطاء حقوق الإنسان والصحفيين. وهي أكثر نشاطًا في إسرائيل والشرق الأوسط والولايات المتحدة. والجدير بالذكر أنه خلال الوباء، كان يستهدف المنظمات ذات الصلة بكوفيد-19، بما في ذلك منظمة الصحة العالمية وشركة جلعاد للأدوية، والعاملين في مجال البحوث الطبية.

التداخلات بين حملات البوبكات الباليستية وتُظهر إصدارات الجهات الراعية من الباب الخلفي نمطًا واضحًا إلى حدٍ ما لتطوير الأدوات ونشرها، مع حملات مستهدفة بشكل ضيق، وتكون كل منها محدودة المدة. اكتشفنا لاحقًا أربعة إصدارات أخرى من الباب الخلفي للراعي. في المجمل، رأينا الراعي ينتشر على ما لا يقل عن 34 ضحية في البرازيل وإسرائيل والإمارات العربية المتحدة، كما هو موضح في  REF _Ref143075975 ح الشكل 1
.

النقاط الرئيسية لهذه المدونة:

• لقد اكتشفنا بابًا خلفيًا جديدًا تم نشره بواسطة Ballistic Bobcat والذي أطلقنا عليه فيما بعد اسم الراعي.
• نشرت شركة Ballistic Bobcat الباب الخلفي الجديد في سبتمبر 2021، بينما كانت تختتم الحملة الموثقة في CISA Alert AA21-321A وحملة PowerLess.
• يستخدم الباب الخلفي للراعي ملفات التكوين المخزنة على القرص. يتم نشر هذه الملفات بشكل سري بواسطة ملفات دفعية ويتم تصميمها عمدًا لتبدو غير ضارة، وبالتالي محاولة تجنب اكتشافها بواسطة محركات الفحص.
• تم توزيع الراعي على ما لا يقل عن 34 ضحية في البرازيل وإسرائيل والإمارات العربية المتحدة؛ لقد أطلقنا على هذا النشاط اسم حملة الوصول الداعم.

الوصول الأولي

حصلت شركة Ballistic Bobcat على إمكانية الوصول الأولي من خلال استغلال نقاط الضعف المعروفة في خوادم Microsoft Exchange المعرضة للإنترنت عن طريق إجراء عمليات فحص دقيقة للنظام أو الشبكة أولاً لتحديد نقاط الضعف أو نقاط الضعف المحتملة، ومن ثم استهداف نقاط الضعف المحددة واستغلالها. من المعروف أن المجموعة تنخرط في هذا السلوك لبعض الوقت. ومع ذلك، قد يكون من الأفضل وصف العديد من الضحايا الـ 34 الذين تم تحديدهم في قياس ESET عن بعد على أنهم ضحايا الفرصة بدلاً من الضحايا الذين تم اختيارهم مسبقًا والبحث عنهم، حيث نشتبه في تورط Ballistic Bobcat في سلوك المسح والاستغلال الموصوف أعلاه لأنه لم يكن التهديد الوحيد الفاعل مع الوصول إلى هذه الأنظمة. لقد أطلقنا على نشاط Ballistic Bobcat هذا باستخدام الباب الخلفي للراعي اسم حملة Sponsoring Access.

يستخدم الباب الخلفي للراعي ملفات التكوين الموجودة على القرص، ويتم إسقاطها بواسطة ملفات دفعية، وكلاهما غير ضار لتجاوز محركات الفحص. هذا النهج المعياري هو النهج الذي استخدمته شركة Ballistic Bobcat كثيرًا وبنجاح متواضع في العامين ونصف العام الماضيين. في الأنظمة المخترقة، تستمر شركة Ballistic Bobcat أيضًا في استخدام مجموعة متنوعة من الأدوات مفتوحة المصدر، والتي نصفها - جنبًا إلى جنب مع الباب الخلفي للراعي - في منشور المدونة هذا.

بالضحايا

الغالبية العظمى من الضحايا الـ 34 كانوا موجودين في إسرائيل، مع وجود اثنتين فقط في بلدان أخرى:

• البرازيل، لدى شركة تعاونية طبية وتأمين صحي، و
• الإمارات العربية المتحدة لدى جهة غير محددة.

 REF _Ref112861418 ح طاولات ومكاتب 1
يصف القطاعات والتفاصيل التنظيمية للضحايا في إسرائيل.

طاولات ومكاتب  جدول التسلسل * عربي 1. القطاعات والتفاصيل التنظيمية للضحايا في إسرائيل

عمودي	التفاصيل
قطاع المعدات الثقيلة	·       شركة سيارات متخصصة في التعديلات المخصصة. ·       شركة إصلاح وصيانة السيارات.
مجال الاتصالات	·       إحدى وسائل الإعلام الإسرائيلية.
الهندسة	·       شركة هندسة مدنية. ·       شركة هندسة بيئية. ·       شركة تصميم معماري.
الخدمات المالية	·       شركة خدمات مالية متخصصة في الاستشارات الاستثمارية. ·       شركة تدير الإتاوات.
الرعاية الصحية	·       مقدم رعاية طبية.
تأمين	·       شركة تأمين تدير سوق التأمين. ·       شركة تأمين تجارية.
القانون	·       شركة متخصصة في القانون الطبي.
تصنيع	·       العديد من شركات تصنيع الإلكترونيات. ·       شركة تقوم بتصنيع المنتجات التجارية القائمة على المعادن. ·       شركة تصنيع التكنولوجيا متعددة الجنسيات.
خدمات البيع بالتجزئة	·       تاجر تجزئة للمواد الغذائية. ·       تاجر تجزئة متعدد الجنسيات للألماس. ·       تاجر تجزئة لمنتجات العناية بالبشرة. ·       بائع تجزئة ومثبت لمعالجة النوافذ. ·       مورد عالمي للأجزاء الإلكترونية. ·       مورد التحكم في الوصول المادي.
تكنولوجيا	·       شركة تكنولوجيا خدمات تكنولوجيا المعلومات. ·       مزود حلول تكنولوجيا المعلومات.
الاتصالات السلكية واللاسلكية	·       شركة اتصالات.
مجهولة الهوية	·       منظمات متعددة مجهولة الهوية.

عزو

في أغسطس 2021، تعرضت الضحية الإسرائيلية المذكورة أعلاه والتي تدير سوقًا للتأمين لهجوم بواسطة شركة Ballistic Bobcat باستخدام الأدوات تم الإبلاغ عن CISA في نوفمبر 2021. مؤشرات التسوية التي لاحظناها هي:

• MicrosoftOutlookUpdateSchedule,
• MicrosoftOutlookUpdateSchedule.xml,
• GoogleChangeManagementو
• GoogleChangeManagement.xml.

أدوات Bobcat الباليستية تتواصل مع نفس خادم القيادة والتحكم (C&C) كما في تقرير CISA: 162.55.137 [.] 20.

ثم، في سبتمبر 2021، تلقت نفس الضحية الجيل التالي من أدوات بوبكات الباليستية: PowerLes الباب الخلفي ومجموعة الأدوات الداعمة لها. وكانت مؤشرات التسوية التي لاحظناها هي:

• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/dll.dll,
• windowsprocesses.exeو
• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/windowsprocesses.exe.

نوفمبر 18^th، 2021، ثم قامت الجماعة بنشر أداة أخرى (طقطقة) الذي تم تناوله في تقرير CISA، مثل MicrosoftOutLookUpdater.exe. وبعد عشرة أيام، في 28 نوفمبر^th، 2021، نشرت شركة Ballistic Bobcat وكيل ميرلين (الجزء الوكيل من خادم ووكيل التحكم والتحكم مفتوح المصدر مكتوب بلغة Go). على القرص، تم تسمية وكيل ميرلين هذا googleUpdate.exe، وذلك باستخدام نفس اصطلاح التسمية كما هو موضح في تقرير CISA للاختباء على مرأى من الجميع.

قام وكيل Merlin بتنفيذ غلاف عكسي لـ Meterpreter والذي أعاد الاتصال بخادم القيادة والتحكم الجديد، 37.120.222 [.] 168: 80. في 12 ديسمبر^th، 2021، أسقطت القشرة العكسية ملفًا دفعيًا، install.bat، وفي غضون دقائق من تنفيذ الملف الدفعي، دفع مشغلو Ballistic Bobcat أحدث باب خلفي لهم، وهو Sponsor. سيكون هذا هو الإصدار الثالث من الباب الخلفي.

التحليل الفني

الوصول الأولي

تمكنا من تحديد وسيلة محتملة للوصول الأولي لـ 23 من أصل 34 ضحية لاحظناها في قياس ESET عن بعد. وعلى غرار ما ورد في القوة و CISA التقارير، ربما استغلت شركة Ballistic Bobcat ثغرة أمنية معروفة، CVE-2021-26855، في خوادم Microsoft Exchange للحصول على موطئ قدم على هذه الأنظمة.

بالنسبة لـ 16 من الضحايا الـ 34، يبدو أن شركة Ballistic Bobcat لم تكن جهة التهديد الوحيدة التي يمكنها الوصول إلى أنظمتها. قد يشير هذا، إلى جانب التنوع الكبير في الضحايا والافتقار الواضح إلى القيمة الاستخباراتية الواضحة لعدد قليل من الضحايا، إلى أن شركة Ballistic Bobcat انخرطت في سلوك المسح والاستغلال، على عكس الحملة المستهدفة ضد الضحايا المختارين مسبقًا.

مجموعة أدوات

أدوات مفتوحة المصدر

استخدمت شركة Ballistic Bobcat عددًا من الأدوات مفتوحة المصدر خلال حملة Sponsoring Access. يتم سرد هذه الأدوات ووظائفها في  REF _Ref112861458 ح طاولات ومكاتب 2
.

طاولات ومكاتب  جدول التسلسل * عربي 2. أدوات مفتوحة المصدر تستخدمها شركة Ballistic Bobcat

اسم الملف	الوصف
host2ip.exe	الخرائط أ اسم المضيف إلى عنوان IP داخل الشبكة المحلية.
CSRSS.EXE	ريفسوكس، تطبيق النفق العكسي.
mi.exe	Mimikatz، مع اسم الملف الأصلي لـ midongle.exe ومعبأة مع أرماديلو بي باكر.
gost.exe	اذهب إلى النفق البسيط (GOST)، وهو تطبيق نفق مكتوب بلغة Go.
chisel.exe	إزميل، نفق TCP/UDP عبر HTTP باستخدام طبقات SSH.
csrss_protected.exe	نفق RevSocks محمي بالإصدار التجريبي من برنامج Enigma Protector لحماية البرامج.
plink.exe	طقطقة (PuTTY Link)، أداة اتصال سطر الأوامر.
WebBrowserPassView.exe	A أداة استعادة كلمة المرور لكلمات المرور المخزنة في متصفحات الويب.
sqlextractor.exe	A أداة للتفاعل مع قواعد بيانات SQL واستخراج البيانات منها.
procdump64.exe	بروكدومبأو المعلم  أداة سطر الأوامر Sysinternals لمراقبة التطبيقات وإنشاء عمليات تفريغ الأعطال.

ملفات دفعية

قامت شركة Ballistic Bobcat بنشر ملفات دفعية على أنظمة الضحايا قبل لحظات من نشر الباب الخلفي للراعي. مسارات الملفات التي نعرفها هي:

• C:inetpubwwwrootaspnet_clientInstall.bat
• %USERPROFILE%DesktopInstall.bat
• %WINDOWS%TasksInstall.bat

لسوء الحظ، لم نتمكن من الحصول على أي من هذه الملفات الدفعية. ومع ذلك، نعتقد أنهم يكتبون ملفات تكوين غير ضارة على القرص، والتي يتطلبها الباب الخلفي للراعي ليعمل بشكل كامل. تم أخذ أسماء ملفات التكوين هذه من الأبواب الخلفية للراعي ولكن لم يتم جمعها مطلقًا:

• ملف التكوين.txt
• العقدة.txt
• خطأ.txt
• إلغاء التثبيت.bat

نعتقد أن الملفات الدفعية وملفات التكوين هي جزء من عملية التطوير المعيارية التي فضلتها شركة Ballistic Bobcat خلال السنوات القليلة الماضية.

الراعي مستتر

تتم كتابة الأبواب الخلفية للراعي بلغة C++ مع الطوابع الزمنية للتجميع ومسارات قاعدة بيانات البرنامج (PDB) كما هو موضح في  REF _Ref112861527 ح طاولات ومكاتب 3
. ملاحظة على أرقام الإصدارات: العمود التجريبية يمثل الإصدار الذي نتتبعه داخليًا بناءً على التقدم الخطي للأبواب الخلفية للراعي حيث يتم إجراء التغييرات من إصدار إلى الإصدار التالي. ال نسخة داخلية يحتوي العمود على أرقام الإصدارات التي تمت ملاحظتها في كل باب خلفي للجهة الراعية ويتم تضمينها لسهولة المقارنة عند فحص هذه العينات وغيرها من عينات الجهة الراعية المحتملة.

طاولات ومكاتب 3. الطوابع الزمنية لتجميع الراعي و PDBs

التجريبية	نسخة داخلية	الطابع الزمني للتجميع	PDB
1	1.0.0	2021-08-29 09:12:51	د:TempBD_Plus_SrvcReleaseBD_Plus_Srvc.pdb
2	1.0.0	2021-10-09 12:39:15	D:TempSponsorReleaseSponsor.pdb
3	1.4.0	2021-11-24 11:51:55	D:TempSponsorReleaseSponsor.pdb
4	2.1.1	2022-02-19 13:12:07	D:TempSponsorReleaseSponsor.pdb
5	1.2.3.0	2022-06-19 14:14:13	D:TempAluminaReleaseAlumina.pdb

يتطلب التنفيذ الأولي للراعي وسيطة وقت التشغيل تثبيت، والتي بدونها يخرج الراعي بأمان، من المحتمل أن تكون هذه تقنية بسيطة لمكافحة المحاكاة/مكافحة وضع الحماية. إذا تم تمرير هذه الوسيطة، يقوم الراعي بإنشاء خدمة تسمى شبكة النظام (في v1) و تحديث (في جميع الإصدارات الأخرى). فهو يحدد الخدمة نوع بدء التشغيل إلى أوتوماتيك، وتعيينه لتشغيل عملية الراعي الخاصة به، ويمنحه حق الوصول الكامل. ثم يبدأ الخدمة.

يحاول الراعي، الذي يعمل الآن كخدمة، فتح ملفات التكوين المذكورة أعلاه والتي تم وضعها مسبقًا على القرص. إنه يبحث عن ملف التكوين.txt و العقدة.txt، سواء في دليل العمل الحالي. إذا كان الأول مفقودًا، يقوم الراعي بتعيين الخدمة على توقف ويخرج برشاقة.

تكوين الباب الخلفي

تكوين الراعي، المخزنة في ملف التكوين.txt، يحتوي على حقلين:

• الفاصل الزمني للتحديث، بالثواني، للاتصال بخادم القيادة والسيطرة بشكل دوري للحصول على الأوامر.
• قائمة خوادم القيادة والسيطرة، المشار إليها باسم التبديلات في ثنائيات الراعي.

يتم تخزين خوادم القيادة والتحكم بشكل مشفر (RC4)، ويوجد مفتاح فك التشفير في السطر الأول من ملف التكوين.txt. كل حقل، بما في ذلك مفتاح فك التشفير، له التنسيق الموضح به  REF _Ref142647636 ح الشكل 3
.

هذه الحقول الفرعية هي:

• config_start: يدل على طول config_name، إذا كان موجودا، أو صفر، إذا لم يكن كذلك. يستخدم من الباب الخلفي لمعرفة مكانه config_data يبدأ.
• config_len: طول config_data.
• config_name: اختياري، يحتوي على الاسم المعطى لحقل التكوين.
• config_data: التكوين نفسه، مشفر (في حالة خوادم القيادة والتحكم) أم لا (جميع الحقول الأخرى).

 REF _Ref142648473 ح الشكل 4
يعرض مثالاً بمحتويات مرمزة بالألوان لاحتمال ملف التكوين.txt ملف. لاحظ أن هذا ليس ملفًا فعليًا لاحظناه، ولكنه مثال ملفق.

الحقلين الأخيرين في ملف التكوين.txt يتم تشفيرها باستخدام RC4، باستخدام تمثيل السلسلة لتجزئة SHA-256 لمفتاح فك التشفير المحدد، كمفتاح لتشفير البيانات. نرى أن وحدات البايت المشفرة يتم تخزينها بترميز سداسي عشري كنص ASCII.

جمع المعلومات المضيفة

يقوم الراعي بجمع معلومات حول المضيف الذي يعمل عليه، ويبلغ كافة المعلومات المجمعة إلى خادم القيادة والسيطرة، ويتلقى معرف العقدة، الذي تتم كتابته إلى العقدة.txt.  REF _Ref142653641 ح طاولات ومكاتب 4
REF _Ref112861575 ح
 يسرد المفاتيح والقيم الموجودة في سجل Windows الذي يستخدمه الراعي للحصول على المعلومات، ويقدم مثالاً للبيانات التي تم جمعها.

الجدول 4. المعلومات التي تم جمعها من قبل الراعي

مفتاح التسجيل	القيم	مثال
HKEY_LOCAL_MACHINESYSTEMCمجموعة التحكم الحاليةالخدماتTcpipالمعلمات	اسم المضيف	د-835MK12
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTimeZoneInformation	اسم المنطقة الزمنية	توقيت إسرائيل الرسمي
HKEY_USERS.DEFAULTلوحة التحكم الدولية	الاسم المحلي	هو-ايل
HKEY_LOCAL_MACHINEHARDWARDSCRIPTIONystemBIOS	BaseBoardProduct	10NX0010IL
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessor	سلسلة اسم المعالج	وحدة المعالجة المركزية Intel(R) Core(TM) i7-8565U بسرعة 1.80 جيجاهرتز
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion	اسم المنتج	Windows 10 Enterprise N
	كرنتفرسون	6.3
	رقم البناء الحالي	19044
	نوع التثبيت	العميل

يقوم الراعي أيضًا بجمع مجال Windows الخاص بالمضيف باستخدام ما يلي WMIC أمر:

نظام الكمبيوتر Wmic يحصل على المجال

وأخيرًا، يستخدم الراعي واجهات برمجة تطبيقات Windows لتجميع اسم المستخدم الحالي (GetUserNameW)، تحديد ما إذا كانت عملية الراعي الحالية تعمل كتطبيق 32 بت أو 64 بت (GetCurrentProcess، ثم IsWow64Process(العملية الحالية))، ويحدد ما إذا كان النظام يعمل على طاقة البطارية أو متصلاً بمصدر طاقة تيار متردد أو مستمر (GetSystemPowerStatus).

أحد الأمور الغريبة فيما يتعلق بفحص تطبيق 32 أو 64 بت هو أن جميع عينات الراعي التي تمت ملاحظتها كانت 32 بت. قد يعني هذا أن بعض أدوات المرحلة التالية تتطلب هذه المعلومات.

يتم إرسال المعلومات المجمعة في رسالة مشفرة بـ base64 والتي تبدأ بـ قبل التشفير r ولها الشكل الموضح في  REF _Ref142655224 ح الشكل 5
.

يتم تشفير المعلومات باستخدام RC4، ومفتاح التشفير عبارة عن رقم عشوائي يتم إنشاؤه على الفور. تتم تجزئة المفتاح باستخدام خوارزمية MD5، وليس SHA-256 كما ذكرنا سابقًا. هذا هو الحال بالنسبة لجميع الاتصالات التي يتعين على الراعي فيها إرسال بيانات مشفرة.

يرد خادم القيادة والتحكم برقم يستخدم للتعرف على الكمبيوتر الضحية في الاتصالات اللاحقة، والذي تتم كتابته إليه العقدة.txt. لاحظ أنه يتم اختيار خادم القيادة والسيطرة بشكل عشوائي من القائمة عندما يكون r يتم إرسال الرسالة، ويتم استخدام نفس الخادم في جميع الاتصالات اللاحقة.

حلقة معالجة الأوامر

يطلب الراعي الأوامر في حلقة، وينام وفقًا للفاصل الزمني المحدد في ملف التكوين.txt. الخطوات هي:

1. ارسل chk=Test الرسالة بشكل متكرر، حتى يرد خادم القيادة والسيطرة Ok.
2. ارسل c (IS_CMD_AVAIL) إلى خادم C&C، واستلام أمر المشغل.
3. معالجة الأمر.
   • إذا كان هناك مخرجات ليتم إرسالها إلى خادم القيادة والتحكم، فأرسل a (ACK) الرسالة، بما في ذلك الإخراج (المشفر)، أو
   • إذا فشل التنفيذ، أرسل f (فشل) رسالة. لا يتم إرسال رسالة الخطأ.
4. النوم.

• c يتم إرسال الرسالة لطلب أمر لتنفيذه، ويكون التنسيق (قبل ترميز base64) موضحًا  REF _Ref142658017 ح الشكل 6
.

• encrypted_none الحقل الموجود في الشكل هو نتيجة تشفير السلسلة المشفرة بدون اضاءة مع RC4. مفتاح التشفير هو تجزئة MD5 معرف_العقدة.

تم إنشاء عنوان URL المستخدم للاتصال بخادم القيادة والسيطرة على النحو التالي: http://<IP_or_domain>:80. وهذا قد يدل على ذلك 37.120.222 [.] 168: 80 هو خادم القيادة والسيطرة الوحيد المستخدم طوال حملة Sponsoring Access، حيث كان عنوان IP الوحيد الذي لاحظنا وصول الأجهزة الضحية إليه عبر المنفذ 80.

أوامر المشغل

يتم تحديد أوامر المشغل في  REF _Ref112861551 ح طاولات ومكاتب 5
وتظهر بالترتيب الذي وجدت به في الكود. يتم الاتصال بخادم التحكم والسيطرة عبر المنفذ 80.

الجدول 5. أوامر المشغل وأوصافه

أمر	الوصف
p	يرسل معرف العملية لعملية الراعي قيد التشغيل.
e	ينفذ الأمر، كما هو محدد في وسيطة إضافية لاحقة، على مضيف الراعي باستخدام السلسلة التالية: ج:windowssystem32cmd.exe/c    > نتيجة.txt 2>&1 يتم تخزين النتائج في result.txt في دليل العمل الحالي. يرسل ان a رسالة ذات الإخراج المشفر إلى خادم القيادة والسيطرة إذا تم تنفيذها بنجاح. إذا فشلت، يرسل f الرسالة (دون تحديد الخطأ).
d	يتلقى ملفًا من خادم C&C وينفذه. يحتوي هذا الأمر على العديد من الوسائط: اسم الملف الهدف الذي سيتم كتابة الملف فيه، وتجزئة MD5 للملف، والدليل الذي سيتم كتابة الملف إليه (أو دليل العمل الحالي، افتراضيًا)، وقيمة منطقية للإشارة إلى ما إذا كان سيتم تشغيل الملف أم لا. لا، ومحتويات الملف القابل للتنفيذ، بتشفير Base64. في حالة عدم حدوث أي أخطاء، أ a يتم إرسال الرسالة إلى خادم C&C باستخدام تحميل وتنفيذ الملف بنجاح or تم تحميل الملف بنجاح دون تنفيذ (مشفرة). في حالة حدوث أخطاء أثناء تنفيذ الملف، سيتم حذف f تم إرسال الرسالة. إذا كانت تجزئة MD5 لمحتويات الملف لا تتطابق مع التجزئة المتوفرة، فسيتم حذف e (CRC_ERROR) يتم إرسال الرسالة إلى خادم القيادة والسيطرة (بما في ذلك مفتاح التشفير المستخدم فقط، وليس أي معلومات أخرى). استخدام المصطلح تحميل من المحتمل أن يكون هذا أمرًا مربكًا لأن مشغلي ومبرمجي Ballistic Bobcat يأخذون وجهة النظر من جانب الخادم، في حين أن الكثيرين قد ينظرون إلى هذا على أنه تنزيل يعتمد على سحب الملف (أي تنزيله) بواسطة النظام باستخدام الباب الخلفي للراعي.
u	محاولات تنزيل ملف باستخدام URLDownloadFileW Windows API وتنفيذها. النجاح يرسل a رسالة تحتوي على مفتاح التشفير المستخدم، ولا توجد معلومات أخرى. الفشل يرسل f رسالة ذات بنية مماثلة.
s	ينفذ ملفًا موجودًا بالفعل على القرص، إلغاء التثبيت.bat في دليل العمل الحالي، والذي على الأرجح يحتوي على أوامر لحذف الملفات المتعلقة بالباب الخلفي.
n	يمكن توفير هذا الأمر بشكل صريح بواسطة المشغل أو يمكن استنتاجه بواسطة الراعي باعتباره الأمر الذي يجب تنفيذه في حالة عدم وجود أي أمر آخر. يشار إليه داخل الراعي باسم NO_CMD، فإنه ينفذ سكونًا عشوائيًا قبل التحقق مرة أخرى من خادم القيادة والسيطرة.
b	يقوم بتحديث قائمة الشروط والأحكام المخزنة في ملف التكوين.txt في دليل العمل الحالي. تحل عناوين C&C الجديدة محل العناوين السابقة؛ لم تتم إضافتهم إلى القائمة. يرسل ا a رسالة مع تم استبدال المرحلات الجديدة بنجاح (مشفر) إلى خادم C&C إذا تم التحديث بنجاح.
i	يقوم بتحديث فترة تسجيل الوصول المحددة مسبقًا والمحددة في ملف التكوين.txt. يرسل ا a رسالة مع تم استبدال الفاصل الزمني الجديد بنجاح إلى خادم C&C إذا تم تحديثه بنجاح.

تحديثات للراعي

أجرى مبرمجو Ballistic Bobcat مراجعات للكود بين الراعي v1 وv2. أهم تغييرين في الأخير هما:

• تحسين التعليمات البرمجية حيث تم تصغير العديد من الوظائف الأطول إلى وظائف ووظائف فرعية، و
• تمويه الراعي كبرنامج محدث عن طريق تضمين الرسالة التالية في تكوين الخدمة:

تعد تحديثات التطبيقات رائعة لكل من مستخدمي التطبيق والتطبيقات - التحديثات تعني أن المطورين يعملون دائمًا على تحسين التطبيق، مع الأخذ في الاعتبار تجربة أفضل للعملاء مع كل تحديث.

البنية الأساسية للشبكة

بالإضافة إلى الاستفادة من البنية التحتية للتحكم والتحكم المستخدمة في حملة PowerLess، قدمت Ballistic Bobcat أيضًا خادم تحكم والتحكم جديدًا. استخدمت المجموعة أيضًا عناوين IP متعددة لتخزين أدوات الدعم وتقديمها أثناء حملة Sponsoring Access. لقد أكدنا أن أيًا من عناوين IP هذه لا تعمل في الوقت الحالي.

وفي الختام

تواصل شركة Ballistic Bobcat العمل وفقًا لنموذج الفحص والاستغلال، بحثًا عن أهداف الفرص ذات الثغرات الأمنية غير المصححة في خوادم Microsoft Exchange المعرضة للإنترنت. تستمر المجموعة في استخدام مجموعة أدوات متنوعة مفتوحة المصدر مكملة بالعديد من التطبيقات المخصصة، بما في ذلك الباب الخلفي للراعي. يُنصح المدافعون بتصحيح أي أجهزة معرضة للإنترنت والبقاء يقظين للتطبيقات الجديدة التي تظهر داخل مؤسساتهم.

لأية استفسارات حول بحثنا المنشور على WeLiveSecurity ، يرجى الاتصال بنا على التهديدintel@eset.com.
تقدم ESET Research تقارير استخباراتية خاصة لـ APT وموجزات بيانات. لأية استفسارات حول هذه الخدمة ، قم بزيارة استخبارات التهديدات من إسيت .

شركات النفط العالمية

ملفات

SHA-1	اسم الملف	كشف	الوصف
098B9A6CE722311553E1D8AC5849BA1DC5834C52	N / A	Win32/Agent.UXG	الباب الخلفي للبوبكات الباليستية، الراعي (الإصدار 1).
5AEE3C957056A8640041ABC108D0B8A3D7A02EBD	N / A	Win32/Agent.UXG	الباب الخلفي للبوبكات الباليستية، الراعي (الإصدار 2).
764EB6CA3752576C182FC19CFF3E86C38DD51475	N / A	Win32/Agent.UXG	الباب الخلفي للبوبكات الباليستية، الراعي (الإصدار 3).
2F3EDA9D788A35F4C467B63860E73C3B010529CC	N / A	Win32/Agent.UXG	الباب الخلفي للبوبكات الباليستية، الراعي (الإصدار 4).
E443DC53284537513C00818392E569C79328F56F	N / A	Win32/Agent.UXG	الباب الخلفي لبوبكات الباليستية، الراعي (الإصدار 5، المعروف أيضًا باسم الألومينا).
C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61	N / A	WinGo/Agent.BT	RevSocks النفق العكسي.
39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6	N / A	نظيف	ProcDump، أداة مساعدة لسطر الأوامر لمراقبة التطبيقات وإنشاء عمليات تفريغ الأعطال.
A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A	N / A	Generik.EYWYQYF	ميميكاتز.
5D60C8507AC9B840A13FFDF19E3315A3E14DE66A	N / A	WinGo/Riskware.Gost.D	اذهب إلى النفق البسيط (GOST).
50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617	N / A	WinGo/HackTool.Chisel.A	إزميل النفق العكسي.
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252	N / A	N / A	أداة اكتشاف Host2IP.
519CA93366F1B1D71052C6CE140F5C80CE885181	N / A	Win64/Packed.Enigma.BV	نفق RevSocks، محمي بالإصدار التجريبي من برنامج حماية Enigma Protector.
4709827C7A95012AB970BF651ED5183083366C79	N / A	N / A	Plink (PuTTY Link)، أداة اتصال سطر الأوامر.
99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8	N / A	Win32/PSWTool.WebBrowserPassView.I	أداة لاستعادة كلمة المرور لكلمات المرور المخزنة في متصفحات الويب.
E52AA118A59502790A4DD6625854BD93C0DEAF27	N / A	MSIL/HackTool.SQLDump.A	أداة للتفاعل مع قواعد بيانات SQL واستخراج البيانات منها.

 

مسارات الملفات

فيما يلي قائمة بالمسارات التي تم فيها نشر الباب الخلفي للراعي على الأجهزة الضحية.

%SYSTEMDRIVE%inetpubwwwrootaspnet_client

%USERPROFILE%AppDataLocalTempfile

%USERPROFILE%AppDataLocalTemp2low

سطح المكتب٪ USERPROFILE٪

%USERPROFILE% التنزيلاتأ

%WINDIR%

%WINDIR%INFMSExchange Delivery DSN

%WINDIR%المهام

%WINDIR%Temp%WINDIR%Tempcrashpad1Files

شبكة

IP	مزود	الروية الأولى	شوهد للمرة الاخيرة	التفاصيل
162.55.137 [.] 20	هيتزنر أون لاين شركة محدودة	2021-06-14	2021-06-15	تحكم وتحكم أقل قوة.
37.120.222 [.] 168	M247 المحدودة	2021-11-28	2021-12-12	الراعي C&C.
198.144.189 [.] 74	كولوكروسينغ	2021-11-29	2021-11-29	موقع تحميل أدوات الدعم.
5.255.97 [.] 172	مجموعة البنية التحتية BV	2021-09-05	2021-10-28	موقع تحميل أدوات الدعم.

تم بناء هذا الجدول باستخدام إصدار 13 من إطار MITER ATT & CK.

تكتيك	ID	الاسم	الوصف
استطلاع	T1595	المسح النشط: فحص الثغرات الأمنية	يقوم Ballistic Bobcat بالبحث عن الإصدارات الضعيفة من خوادم Microsoft Exchange لاستغلالها.
تنمية الموارد	T1587.001	تطوير القدرات: البرامج الضارة	قامت شركة Ballistic Bobcat بتصميم وترميز الباب الخلفي للراعي.
	T1588.002	الحصول على القدرات: الأداة	يستخدم Ballistic Bobcat العديد من الأدوات مفتوحة المصدر كجزء من حملة Sponsoring Access.
الوصول الأولي	T1190	استغلال التطبيق العام	أهداف Bobcat الباليستية المكشوفة على الإنترنت  خوادم مايكروسوفت إكستشينج.
التنفيذ	T1059.003	مترجم الأوامر والبرمجة: Windows Command Shell	يستخدم الباب الخلفي للراعي واجهة أوامر Windows لتنفيذ الأوامر على نظام الضحية.
	T1569.002	خدمات النظام: تنفيذ الخدمة	يحدد الباب الخلفي للراعي نفسه كخدمة ويبدأ وظائفه الأساسية بعد تنفيذ الخدمة.
إصرار	T1543.003	إنشاء أو تعديل عملية النظام: خدمة Windows	يحافظ الراعي على الثبات من خلال إنشاء خدمة ذات بدء تشغيل تلقائي تنفذ وظائفها الأساسية في حلقة.
التصعيد امتياز	T1078.003	الحسابات الصالحة: الحسابات المحلية	يحاول مشغلو Ballistic Bobcat سرقة بيانات اعتماد المستخدمين الصالحين بعد استغلال النظام في البداية قبل نشر الباب الخلفي للراعي.
التهرب الدفاعي	T1140	فك تشفير / فك تشفير الملفات أو المعلومات	يقوم الراعي بتخزين المعلومات على القرص المشفر والمبهم، ويقوم بإزالة التشويش عنها في وقت التشغيل.
	T1027	ملفات أو معلومات مبهمة	ملفات التكوين التي يتطلبها الباب الخلفي للراعي على القرص تكون مشفرة ومبهمة.
	T1078.003	الحسابات الصالحة: الحسابات المحلية	يتم تنفيذ الراعي بامتيازات المسؤول، على الأرجح باستخدام بيانات الاعتماد التي عثر عليها المشغلون على القرص؛ جنبًا إلى جنب مع اصطلاحات التسمية غير الضارة لـ Ballistic Bobcat، يسمح هذا للراعي بالاندماج في الخلفية.
الوصول إلى بيانات الاعتماد	T1555.003	بيانات الاعتماد من مخازن كلمات المرور: بيانات الاعتماد من متصفحات الويب	يستخدم مشغلو Ballistic Bobcat أدوات مفتوحة المصدر لسرقة بيانات الاعتماد من مخازن كلمات المرور داخل متصفحات الويب.
الاكتشاف	T1018	اكتشاف النظام عن بعد	يستخدم Ballistic Bobcat أداة Host2IP، التي كانت تستخدمها شركة Agrius سابقًا، لاكتشاف الأنظمة الأخرى ضمن شبكات يمكن الوصول إليها وربط أسماء المضيفين وعناوين IP الخاصة بها.
القيادة والتحكم	T1001	التعتيم على البيانات	يقوم الباب الخلفي للراعي بتشويش البيانات قبل إرسالها إلى خادم القيادة والتحكم.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون السيارات / المركبات الكهربائية ، كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• تشارت بريم. ارفع مستوى لعبة التداول الخاصة بك مع ChartPrime. الوصول هنا.
• BlockOffsets. تحديث ملكية الأوفست البيئية. الوصول هنا.
• المصدر https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/