ESET-forskere opdagede en Ballistic Bobcat-kampagne rettet mod forskellige enheder i Brasilien, Israel og De Forenede Arabiske Emirater ved hjælp af en ny bagdør, som vi har kaldt sponsor.
Vi opdagede sponsoren, efter at vi analyserede en interessant prøve, vi opdagede på et offers system i Israel i maj 2022, og undersøgte offeret efter land. Efter undersøgelse blev det klart for os, at prøven var en ny bagdør, der blev indsat af Ballistic Bobcat APT-gruppen.
Ballistic Bobcat, tidligere sporet af ESET Research som APT35/APT42 (aka Charming Kitten, TA453 eller PHOSPHORUS), er en mistænkt Iran-tilpasset avanceret vedvarende trusselgruppe der er rettet mod uddannelses-, regerings- og sundhedsorganisationer samt menneskerettighedsaktivister og journalister. Den er mest aktiv i Israel, Mellemøsten og USA. Det var især under pandemien rettet mod COVID-19-relaterede organisationer, herunder Verdenssundhedsorganisationen og Gilead Pharmaceuticals, og medicinsk forskningspersonale.
Overlap mellem ballistiske Bobcat-kampagner og sponsor-bagdørsversioner viser et ret klart mønster af værktøjsudvikling og -implementering med snævert målrettede kampagner, hver af begrænset varighed. Vi opdagede efterfølgende fire andre versioner af sponsorbagdøren. I alt så vi sponsor udsendt til mindst 34 ofre i Brasilien, Israel og De Forenede Arabiske Emirater, som beskrevet i REF _Ref143075975 h Figur 1
.
Nøglepunkter i dette blogindlæg:
- Vi opdagede en ny bagdør indsat af Ballistic Bobcat, som vi efterfølgende kaldte sponsor.
- Ballistic Bobcat indsatte den nye bagdør i september 2021, mens den afsluttede kampagnen dokumenteret i CISA Alert AA21-321A og PowerLess-kampagnen.
- Sponsorens bagdør bruger konfigurationsfiler, der er gemt på disken. Disse filer er diskret implementeret af batch-filer og bevidst designet til at virke uskadelige, og derved forsøge at undgå opdagelse ved hjælp af scanningsmaskiner.
- Sponsor blev udsendt til mindst 34 ofre i Brasilien, Israel og De Forenede Arabiske Emirater; vi har kaldt denne aktivitet for Sponsoring Access-kampagnen.
Indledende adgang
Ballistic Bobcat opnåede indledende adgang ved at udnytte kendte sårbarheder i interneteksponerede Microsoft Exchange-servere ved først at udføre minutiøse scanninger af systemet eller netværket for at identificere potentielle svagheder eller sårbarheder, og efterfølgende målrette og udnytte disse identificerede svagheder. Gruppen har været kendt for at engagere sig i denne adfærd i nogen tid. Men mange af de 34 ofre, der identificeres i ESET-telemetri, kan bedst beskrives som ofre for muligheder snarere end forudvalgte og undersøgte ofre, da vi har mistanke om, at Ballistic Bobcat var involveret i den ovenfor beskrevne scan-og-udnyttelsesadfærd, fordi det ikke var den eneste trussel aktør med adgang til disse systemer. Vi har navngivet denne Ballistic Bobcat-aktivitet ved at bruge sponsorbagdøren til Sponsoring Access-kampagnen.
Sponsorens bagdør bruger konfigurationsfiler på disken, droppet af batchfiler, og begge er uskadelige for at omgå scanningsmotorer. Denne modulære tilgang er en, som Ballistic Bobcat har brugt ganske ofte og med beskeden succes i de sidste to et halvt år. På kompromitterede systemer fortsætter Ballistic Bobcat også med at bruge en række open source-værktøjer, som vi beskriver – sammen med sponsorens bagdør – i dette blogindlæg.
viktimologi
Et betydeligt flertal af de 34 ofre befandt sig i Israel, med kun to i andre lande:
- Brasilien, hos et medicinsk kooperativ og sygeforsikringsoperatør, og
- De Forenede Arabiske Emirater, hos en uidentificeret organisation.
REF _Ref112861418 h Bordlampe 1
beskriver vertikalerne og organisatoriske detaljer for ofre i Israel.
Bordlampe SEQ Tabel * ARABISK 1. Lodrette og organisatoriske detaljer for ofre i Israel
|
Lodret |
Detaljer |
|
Automotive |
· Et bilfirma med speciale i tilpassede modifikationer. · Et firma til reparation og vedligeholdelse af biler. |
|
Kommunikation |
· Et israelsk medie. |
|
Engineering |
· Et civilingeniørfirma. · Et miljøingeniørfirma. · Et arkitektfirma. |
|
Finansielle tjenesteydelser |
· En finansiel virksomhed, der er specialiseret i investeringsrådgivning. · En virksomhed, der administrerer royalties. |
|
Medicinal |
· En lægehjælper. |
|
Forsikring |
· Et forsikringsselskab, der driver en forsikringsmarkedsplads. · Et kommercielt forsikringsselskab. |
|
Lov |
· Et firma med speciale i medicinsk ret. |
|
Produktion |
· Flere elektronikfremstillingsvirksomheder. · En virksomhed, der fremstiller metalbaserede kommercielle produkter. · En multinational teknologiproduktionsvirksomhed. |
|
Retail |
· En fødevareforhandler. · En multinational diamantforhandler. · En forhandler af hudplejeprodukter. · En vinduesbehandlingsforhandler og installatør. · En global leverandør af elektroniske dele. · En leverandør af fysisk adgangskontrol. |
|
Teknologier |
· En IT-serviceteknologivirksomhed. · En leverandør af it-løsninger. |
|
Telekommunikation |
· Et teleselskab. |
|
Uidentificeret |
· Flere uidentificerede organisationer. |
Attribution
I august 2021 blev det israelske offer ovenfor, der driver en forsikringsmarkedsplads, angrebet af Ballistic Bobcat med værktøjerne CISA rapporterede i november 2021. De indikatorer for kompromis, vi observerede, er:
- MicrosoftOutlookUpdateSchedule,
- MicrosoftOutlookUpdateSchedule.xml,
- GoogleChangeManagementog
- GoogleChangeManagement.xml.
Ballistiske Bobcat-værktøjer kommunikerede med den samme kommando- og kontrolserver (C&C) som i CISA-rapporten: 162.55.137[.]20.
Så, i september 2021, modtog det samme offer den næste generation af ballistiske Bobcat-værktøjer: Strømløs bagdør og dets understøttende værktøjssæt. De indikatorer for kompromis, vi observerede, var:
- http://162.55.137[.]20/gsdhdDdfgA5sS/ff/dll.dll,
- windowsprocesses.exeog
- http://162.55.137[.]20/gsdhdDdfgA5sS/ff/windowsprocesses.exe.
I november 18th, 2021, implementerede gruppen derefter et andet værktøj (Blink), der blev dækket i CISA-rapporten, som MicrosoftOutLookUpdater.exe. Ti dage senere, den 28. novemberth, 2021, indsatte Ballistic Bobcat Merlin agent (agentdelen af en open source post-udnyttelse C&C server og agent skrevet i Go). På disken blev denne Merlin-agent navngivet googleUpdate.exe, ved at bruge den samme navngivningskonvention som beskrevet i CISA-rapporten for at gemme sig i almindeligt syn.
Merlin-agenten udførte en Meterpreter reverse shell, der kaldte tilbage til en ny C&C-server, 37.120.222[.]168:80. Den 12. decemberth, 2021, den omvendte shell droppede en batch-fil, install.bat, og få minutter efter at have udført batchfilen, skubbede Ballistic Bobcat-operatører deres nyeste bagdør, sponsor. Dette skulle vise sig at være den tredje version af bagdøren.
Teknisk analyse
Indledende adgang
Vi var i stand til at identificere et sandsynligt middel til indledende adgang for 23 af de 34 ofre, som vi observerede i ESET-telemetri. Svarende til, hvad der blev rapporteret i Magtesløs , CISA rapporterer, at Ballistic Bobcat sandsynligvis udnyttede en kendt sårbarhed, CVE-2021-26855, i Microsoft Exchange-servere for at få fodfæste på disse systemer.
For 16 af de 34 ofre ser det ud til, at Ballistic Bobcat ikke var den eneste trusselsaktør med adgang til deres systemer. Dette kan sammen med den brede vifte af ofre og den tilsyneladende mangel på åbenlys intelligensværdi hos nogle få ofre tyde på, at Ballistic Bobcat engagerede sig i scan-og-udnyttelsesadfærd, i modsætning til en målrettet kampagne mod forudvalgte ofre.
Værktøjssæt
Open source-værktøjer
Ballistic Bobcat brugte en række open source-værktøjer under Sponsoring Access-kampagnen. Disse værktøjer og deres funktioner er angivet i REF _Ref112861458 h Bordlampe 2
.
Bordlampe SEQ Tabel * ARABISK 2. Open source værktøjer brugt af Ballistic Bobcat
|
Filnavn |
Beskrivelse |
host2ip.exe
|
Kort a værtsnavn til en IP-adresse inden for det lokale netværk. |
CSRSS.EXE
|
RevSocks, en omvendt tunnelapplikation. |
mi.exe
|
Mimikatz, med et originalt filnavn på midongle.exe og pakket med Armadillo PE pakker. |
gost.exe
|
GO Simple Tunnel (GOST), en tunneling-applikation skrevet i Go. |
chisel.exe
|
Mejsel, en TCP/UDP-tunnel over HTTP ved hjælp af SSH-lag. |
csrss_protected.exe
|
RevSocks tunnel, beskyttet med prøveversionen af Enigma Protector softwarebeskyttelse. |
plink.exe
|
Blink (PuTTY Link), et kommandolinjeforbindelsesværktøj. |
|
WebBrowserPassView.exe
|
A adgangskodegendannelsesværktøj for adgangskoder gemt i webbrowsere.
|
sqlextractor.exe
|
A værktøj til at interagere med og udtrække data fra SQL-databaser. |
procdump64.exe
|
ProcDump, en Sysinternals kommandolinjeværktøj til overvågning af applikationer og generering af crash-dumps. |
Batch-filer
Ballistic Bobcat implementerede batchfiler til ofrenes systemer øjeblikke før deployerede sponsorbagdøren. Filstier, vi kender til, er:
- C:inetpubwwwrootaspnet_clientInstall.bat
- %USERPROFILE%DesktopInstall.bat
- %WINDOWS%TasksInstall.bat
Desværre var vi ikke i stand til at hente nogen af disse batchfiler. Vi mener dog, at de skriver uskadelige konfigurationsfiler til disken, hvilket sponsorens bagdør kræver for at fungere fuldt ud. Disse konfigurationsfilnavne blev taget fra sponsorens bagdøre, men blev aldrig indsamlet:
- config.txt
- node.txt
- error.txt
- Afinstaller.bat
Vi mener, at batchfilerne og konfigurationsfilerne er en del af den modulære udviklingsproces, som Ballistic Bobcat har favoriseret i løbet af de sidste par år.
Sponsor bagdør
Sponsorbagdøre er skrevet i C++ med kompileringstidsstempler og Program Database (PDB) stier som vist i REF _Ref112861527 h Bordlampe 3
. En note om versionsnumre: kolonnen Udgave repræsenterer den version, som vi sporer internt baseret på den lineære progression af sponsorbagdøre, hvor der foretages ændringer fra den ene version til den næste. Det Intern version kolonnen indeholder de versionsnumre, der er observeret i hver sponsorbagdør og er inkluderet for at lette sammenligningen, når disse og andre potentielle sponsorprøver undersøges.
Bordlampe 3. Sponsorindsamlingstidsstempler og PDB'er
|
Udgave |
Intern version |
Tidsstempel for kompilering |
FBF |
|
1 |
1.0.0 |
2021-08-29 09:12:51 |
D:TempBD_Plus_SrvcReleaseBD_Plus_Srvc.pdb |
|
2 |
1.0.0 |
2021-10-09 12:39:15 |
D:TempSponsorReleaseSponsor.pdb |
|
3 |
1.4.0 |
2021-11-24 11:51:55 |
D:TempSponsorReleaseSponsor.pdb |
|
4 |
2.1.1 |
2022-02-19 13:12:07 |
D:TempSponsorReleaseSponsor.pdb |
|
5 |
1.2.3.0 |
2022-06-19 14:14:13 |
D:TempAluminaReleaseAlumina.pdb |
Den indledende udførelse af Sponsor kræver runtime-argumentet installere, uden hvilken sponsor graciøst forlader, sandsynligvis en simpel anti-emulering/anti-sandbox-teknik. Hvis dette argument bestået, opretter sponsor en service kaldet Systemnetværk (i v1) og Opdatering (i alle de andre versioner). Det sætter tjenestens Starttype til Automatisk Ur, og indstiller den til at køre sin egen sponsorproces og giver den fuld adgang. Det starter derefter tjenesten.
Sponsor, der nu kører som en tjeneste, forsøger at åbne de førnævnte konfigurationsfiler, der tidligere var placeret på disken. Den leder efter config.txt , node.txt, begge i den aktuelle arbejdsmappe. Hvis den første mangler, sætter Sponsor tjenesten til Stoppet og går elegant ud.
Bagdørs konfiguration
Sponsorens konfiguration, gemt i config.txt, indeholder to felter:
- Et opdateringsinterval, i sekunder, til periodisk at kontakte C&C-serveren for kommandoer.
- En liste over C&C-servere, kaldet relæer i sponsorens binære filer.
C&C-serverne lagres krypteret (RC4), og dekrypteringsnøglen er til stede i den første linje af config.txt. Hvert af felterne, inklusive dekrypteringsnøglen, har formatet vist i REF _Ref142647636 h Figur 3
.
Disse underfelter er:
- config_start: angiver længden af config_name, hvis til stede, eller nul, hvis ikke. Brugt af bagdøren til at vide hvor config_data starter.
- config_len: længde af config_data.
- config_name: valgfri, indeholder et navn givet til konfigurationsfeltet.
- config_data: selve konfigurationen, krypteret (i tilfælde af C&C-servere) eller ej (alle de andre felter).
REF _Ref142648473 h Figur 4
viser et eksempel med farvekodet indhold af en evt config.txt fil. Bemærk, at dette ikke er en egentlig fil, vi har observeret, men et opdigtet eksempel.
De sidste to felter i config.txt er krypteret med RC4 ved at bruge strengrepræsentationen af SHA-256-hashen for den angivne dekrypteringsnøgle som nøglen til at kryptere dataene. Vi ser, at de krypterede bytes er gemt hex-kodet som ASCII-tekst.
Værtsinformationsindsamling
Sponsor indsamler oplysninger om værten, som den kører på, rapporterer alle de indsamlede oplysninger til C&C-serveren og modtager et node-id, som skrives til node.txt. REF _Ref142653641 h Bordlampe 4
REF _Ref112861575 h
viser nøgler og værdier i Windows-registreringsdatabasen, som sponsor bruger til at få oplysningerne, og giver et eksempel på de indsamlede data.
Tabel 4. Oplysninger indsamlet af sponsor
|
Registreringsnøgle |
Værdi |
Eksempel |
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
|
hostname
|
D-835MK12
|
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTimeZoneInformation
|
TimeZoneKeyName
|
Israel standardtid
|
HKEY_USERS.DEFAULTKontrolpanelInternational
|
Lokalt navn
|
han-IL
|
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemBIOS
|
BaseBoard Produkt
|
10NX0010IL
|
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessor
|
ProcessorNameString
|
Intel(R) Core(TM) i7-8565U CPU @ 1.80GHz
|
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion
|
Produktnavn
|
Windows 10 EnterpriseN
|
CurrentVersion
|
6.3
|
|
CurrentBuildNumber
|
19044
|
|
Installationstype
|
Klient
|
Sponsor indsamler også værtens Windows-domæne ved at bruge følgende Wmic kommando:
wmic computersystem få domæne
Endelig bruger sponsor Windows API'er til at indsamle det aktuelle brugernavn (GetUserNameW), afgør, om den aktuelle sponsorproces kører som en 32- eller 64-bit applikation (GetCurrentProcess, derefter IsWow64Process(CurrentProcess)), og bestemmer, om systemet kører på batteristrøm eller er tilsluttet en AC- eller DC-strømkilde (HentSystemPowerStatus).
En mærkelighed med hensyn til 32- eller 64-bit applikationskontrollen er, at alle observerede prøver af sponsor var 32-bit. Dette kan betyde, at nogle af værktøjerne i næste fase kræver denne information.
De indsamlede oplysninger sendes i en base64-kodet besked, der før kodning starter med r og har formatet vist i REF _Ref142655224 h Figur 5
.
Informationen er krypteret med RC4, og krypteringsnøglen er et tilfældigt tal genereret på stedet. Nøglen hashes med MD5-algoritmen, ikke SHA-256 som tidligere nævnt. Dette er tilfældet for al kommunikation, hvor sponsor skal sende krypterede data.
C&C-serveren svarer med et nummer, der bruges til at identificere den ramte computer i senere kommunikation, som er skrevet til node.txt. Bemærk, at C&C-serveren er tilfældigt valgt fra listen, når r besked sendes, og den samme server bruges i al efterfølgende kommunikation.
Kommandobehandlingsløkke
Sponsor anmoder om kommandoer i en sløjfe, sover i henhold til intervallet defineret i config.txt. Trinene er:
- Send en chk=Test besked gentagne gange, indtil C&C-serveren svarer Ok.
- Send en c (IS_CMD_AVAIL) besked til C&C-serveren og modtag en operatørkommando.
- Behandle kommandoen.
- Hvis der er output, der skal sendes til C&C-serveren, så send en a (ACK) besked, inklusive output (krypteret), eller
- Hvis udførelse mislykkedes, send en f
(FAILED) besked. Fejlmeddelelsen sendes ikke.
- Sleep.
c besked sendes for at anmode om en kommando om at udføre, og har formatet (før base64-kodning) vist i REF _Ref142658017 h Figur 6
.
krypteret_ingen feltet i figuren er resultatet af kryptering af den hårdkodede streng Ingen med RC4. Nøglen til kryptering er MD5-hash af node_id.
URL'en, der bruges til at kontakte C&C-serveren, er bygget som: http://<IP_or_domain>:80. Det kan tyde på det 37.120.222[.]168:80 er den eneste C&C-server, der blev brugt i hele sponsoradgangskampagnen, da det var den eneste IP-adresse, vi observerede, at offermaskiner nåede ud til på port 80.
Operatørkommandoer
Operatørkommandoer er afgrænset i REF _Ref112861551 h Bordlampe 5
og vises i den rækkefølge, de findes i koden. Kommunikation med C&C-serveren foregår over port 80.
Tabel 5. Operatørkommandoer og beskrivelser
|
Kommando |
Beskrivelse |
|
p |
Sender proces-id'et for den kørende sponsorproces. |
|
e |
Udfører en kommando, som angivet i et efterfølgende ekstra argument, på sponsorværten ved hjælp af følgende streng: c:windowssystem32cmd.exe /c > result.txt 2>&1 Resultaterne gemmes i resultat.txt i den aktuelle arbejdsmappe. Sender en a meddelelse med det krypterede output til C&C-serveren, hvis den er udført. Hvis det mislykkedes, sender en f besked (uden at angive fejlen). |
|
d |
Modtager en fil fra C&C-serveren og udfører den. Denne kommando har mange argumenter: målfilnavnet til at skrive filen ind i, filens MD5-hash, en mappe at skrive filen til (eller den nuværende arbejdsmappe som standard), en boolsk for at angive, om filen skal køres eller ikke, og indholdet af den eksekverbare fil, base64-kodet. Hvis der ikke opstår fejl, en a besked sendes til C&C-serveren med Upload og kør filen med succes or Upload filen med succes uden at udføre (krypteret). Hvis der opstår fejl under udførelsen af filen, skal en f besked er sendt. Hvis MD5-hash af indholdet af filen ikke stemmer overens med den angivne hash, an e (CRC_ERROR) besked sendes til C&C-serveren (inklusive kun den anvendte krypteringsnøgle og ingen anden information). Brugen af udtrykket Upload her er potentielt forvirrende, da Ballistic Bobcat-operatørerne og -koderne tager synspunktet fra serversiden, hvorimod mange måske ser dette som en download baseret på at trække filen (dvs. downloade den) af systemet ved hjælp af Sponsor-bagdøren. |
|
u |
Forsøg på at downloade en fil ved hjælp af URLDownloadFileW Windows API og kør det. Succes sender en a besked med den anvendte krypteringsnøgle og ingen andre oplysninger. Fejl sender en f besked med en lignende struktur. |
|
s |
Udfører en fil, der allerede er på disken, Afinstaller.bat i den aktuelle arbejdsmappe, som højst sandsynligt indeholder kommandoer til at slette filer relateret til bagdøren. |
|
n |
Denne kommando kan eksplicit leveres af en operatør eller kan udledes af sponsor som kommandoen til at udføre i fravær af nogen anden kommando. Benævnt inden for Sponsor som NO_CMD, udfører den en randomiseret dvale, før den tjekker ind igen med C&C-serveren. |
|
b |
Opdaterer listen over C&C'er gemt i config.txt i den aktuelle arbejdsmappe. De nye C&C-adresser erstatter de tidligere; de er ikke tilføjet til listen. Det sender en a besked med |
|
i |
Opdaterer det forudbestemte check-in interval angivet i config.txt. Det sender en a besked med Nyt interval blev udskiftet til C&C-serveren, hvis den er opdateret. |
Opdateringer til sponsor
Ballistiske Bobcat-kodere lavede koderevisioner mellem Sponsor v1 og v2. De to mest markante ændringer i sidstnævnte er:
- Optimering af kode hvor flere længere funktioner blev minimeret til funktioner og underfunktioner, og
- Forklædning af sponsor som et opdateringsprogram ved at inkludere følgende meddelelse i tjenestekonfigurationen:
App-opdateringer er gode for både app-brugere og apps – opdateringer betyder, at udviklere altid arbejder på at forbedre appen, med tanke på en bedre kundeoplevelse med hver opdatering.
Netværksinfrastruktur
Udover at piggybacke på C&C-infrastrukturen, der blev brugt i PowerLess-kampagnen, introducerede Ballistic Bobcat også en ny C&C-server. Gruppen brugte også flere IP'er til at opbevare og levere supportværktøjer under Sponsoring Access-kampagnen. Vi har bekræftet, at ingen af disse IP'er er i drift på nuværende tidspunkt.
Konklusion
Ballistic Bobcat fortsætter med at operere på en scan-og-udnyttelsesmodel og leder efter mulighedsmål med uoprettede sårbarheder i interneteksponerede Microsoft Exchange-servere. Gruppen fortsætter med at bruge et mangfoldigt open source-værktøjssæt suppleret med adskillige brugerdefinerede applikationer, herunder dets sponsorbagdør. Forsvarere ville være klogt i at patche alle internet-eksponerede enheder og forblive på vagt over for nye applikationer, der dukker op i deres organisationer.
For eventuelle forespørgsler om vores forskning offentliggjort på WeLiveSecurity, bedes du kontakte os på threatintel@eset.com.
ESET Research tilbyder private APT-efterretningsrapporter og datafeeds. For eventuelle forespørgsler om denne service, besøg ESET Threat Intelligence .
IoC'er
Filer
|
SHA-1 |
Filnavn |
Detektion |
Beskrivelse |
098B9A6CE722311553E1D8AC5849BA1DC5834C52
|
N / A |
Win32/Agent.UXG |
Ballistic Bobcat bagdør, sponsor (v1). |
5AEE3C957056A8640041ABC108D0B8A3D7A02EBD
|
N / A |
Win32/Agent.UXG |
Ballistic Bobcat bagdør, sponsor (v2). |
764EB6CA3752576C182FC19CFF3E86C38DD51475
|
N / A |
Win32/Agent.UXG |
Ballistic Bobcat bagdør, sponsor (v3). |
2F3EDA9D788A35F4C467B63860E73C3B010529CC
|
N / A |
Win32/Agent.UXG |
Ballistic Bobcat bagdør, sponsor (v4). |
E443DC53284537513C00818392E569C79328F56F
|
N / A |
Win32/Agent.UXG |
Ballistic Bobcat bagdør, sponsor (v5, aka Alumina). |
C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61
|
N / A |
WinGo/Agent.BT |
RevSocks omvendt tunnel. |
39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6
|
N / A |
ren |
ProcDump, et kommandolinjeværktøj til overvågning af applikationer og generering af crash-dumps. |
A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A
|
N / A |
Generik.EYWYQYF |
Mimikatz. |
5D60C8507AC9B840A13FFDF19E3315A3E14DE66A
|
N / A |
WinGo/Riskware.Gost.D |
GO Simple Tunnel (GOST). |
50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617
|
N / A |
WinGo/HackTool.Chisel.A |
Mejsel omvendt tunnel. |
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252
|
N / A |
N / A |
Host2IP opdagelsesværktøj. |
519CA93366F1B1D71052C6CE140F5C80CE885181
|
N / A |
Win64/Packed.Enigma.BV |
RevSocks-tunnel, beskyttet med prøveversionen af Enigma Protector-softwarebeskyttelsen. |
4709827C7A95012AB970BF651ED5183083366C79
|
N / A |
N / A |
Plink (PuTTY Link), et kommandolinjeforbindelsesværktøj. |
99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8
|
N / A |
Win32/PSWTool.WebBrowserPassView.I |
Et adgangskodegendannelsesværktøj til adgangskoder gemt i webbrowsere. |
E52AA118A59502790A4DD6625854BD93C0DEAF27
|
N / A |
MSIL/HackTool.SQLDump.A |
Et værktøj til at interagere med og udtrække data fra SQL-databaser. |
Filstier
Følgende er en liste over stier, hvor sponsorens bagdør blev indsat på ofre maskiner.
%SYSTEMDRIVE%inetpubwwwrootaspnet_client
%USERPROFILE%AppDataLocalTemp-fil
%USERPROFILE%AppDataLocalTemp2low
%USERPROFILE%Desktop
%USERPROFILE%Downloadsa
%WINDIR%
%WINDIR%INFMSExchange Delivery DSN
%WINDIR%Opgaver
%WINDIR%Temp%WINDIR%Tempcrashpad1Filer
Netværk
IP
Provider
Først set
Sidst set
Detaljer
162.55.137[.]20
Hetzner Online GMBH
2021-06-14
2021-06-15
Powerless C&C.
37.120.222[.]168
M247 LTD
2021-11-28
2021-12-12
Sponsor C&C.
198.144.189[.]74
Colocrossing
2021-11-29
2021-11-29
Site for download af supportværktøjer.
5.255.97[.]172
The Infrastructure Group BV
2021-09-05
2021-10-28
Site for download af supportværktøjer.
IP
Provider
Først set
Sidst set
Detaljer
162.55.137[.]20
Hetzner Online GMBH
2021-06-14
2021-06-15
Powerless C&C.
37.120.222[.]168
M247 LTD
2021-11-28
2021-12-12
Sponsor C&C.
198.144.189[.]74
Colocrossing
2021-11-29
2021-11-29
Site for download af supportværktøjer.
5.255.97[.]172
The Infrastructure Group BV
2021-09-05
2021-10-28
Site for download af supportværktøjer.
Dette bord er bygget vha udgave 13 af MITER ATT&CK-rammerne.
|
Taktik |
ID |
Navn |
Beskrivelse |
|
Rekognoscering |
Aktiv scanning: Sårbarhedsscanning |
Ballistic Bobcat søger efter sårbare versioner af Microsoft Exchange-servere for at udnytte. |
|
|
Ressourceudvikling |
Udvikle muligheder: Malware |
Ballistic Bobcat designet og kodede sponsorens bagdør. |
|
|
Få egenskaber: Værktøj |
Ballistic Bobcat bruger forskellige open source-værktøjer som en del af Sponsoring Access-kampagnen. |
||
|
Indledende adgang |
Udnyt offentligt vendt applikation |
Ballistisk Bobcat sigter mod internet-eksponerede Microsoft Exchange-servere. |
|
|
Udførelse |
Kommando- og scriptfortolker: Windows Command Shell |
Sponsorens bagdør bruger Windows-kommandoskallen til at udføre kommandoer på ofrets system. |
|
|
Systemtjenester: Serviceudførelse |
Sponsorens bagdør indstiller sig selv som en service og starter sine primære funktioner, efter at servicen er udført. |
||
|
Vedholdenhed |
Opret eller rediger systemproces: Windows Service |
Sponsor bevarer vedholdenhed ved at skabe en service med automatisk opstart, der udfører sine primære funktioner i en sløjfe. |
|
|
Privilegie-eskalering |
Gyldige konti: Lokale konti |
Ballistiske Bobcat-operatører forsøger at stjæle legitimationsoplysninger fra gyldige brugere efter indledningsvis at have udnyttet et system, før de implementerer sponsor-bagdøren. |
|
|
Forsvarsunddragelse |
Deobfuscate/Decode Files eller Information |
Sponsor gemmer information på disk, der er krypteret og sløret, og deobfuskerer den under kørsel. |
|
|
Uklare filer eller oplysninger |
Konfigurationsfiler, som sponsorens bagdør kræver på disken, er krypteret og sløret. |
||
|
Gyldige konti: Lokale konti |
Sponsor udføres med administratorrettigheder, sandsynligvis ved hjælp af legitimationsoplysninger, som operatørerne fandt på disken; sammen med Ballistic Bobcats uskadelige navnekonventioner, giver dette sponsor mulighed for at blande sig i baggrunden. |
||
|
Adgang til legitimationsoplysninger |
Oplysninger fra adgangskodelagre: Oplysninger fra webbrowsere |
Ballistiske Bobcat-operatører bruger open source-værktøjer til at stjæle legitimationsoplysninger fra adgangskodebutikker i webbrowsere. |
|
|
Discovery |
Fjernsystemopdagelse |
Ballistic Bobcat bruger Host2IP-værktøjet, som tidligere blev brugt af Agrius, til at opdage andre systemer inden for tilgængelige netværk og korrelere deres værtsnavne og IP-adresser. |
|
|
Kommando og kontrol |
Dataobfuskation |
Sponsorens bagdør slører data, før de sendes til C&C-serveren. |
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Automotive/elbiler, Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- ChartPrime. Løft dit handelsspil med ChartPrime. Adgang her.
- BlockOffsets. Modernisering af miljømæssig offset-ejerskab. Adgang her.
- Kilde: https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/
- :har
- :er
- :ikke
- :hvor
- $OP
- 09
- 1
- 10
- 11
- 12
- 13
- 14
- 15 %
- 150
- 16
- 179
- 20
- 2021
- 2022
- 23
- 24
- 25
- 31
- 39
- 51
- 60
- 7
- 8
- 80
- 9
- a
- I stand
- Om
- over
- AC
- adgang
- Ifølge
- Konti
- aktiv
- aktivister
- aktivitet
- faktiske
- tilføjet
- Desuden
- Yderligere
- adresse
- adresser
- admin
- fremskreden
- Efter
- mod
- Agent
- alias
- Alert
- algoritme
- Alle
- tillader
- sammen
- allerede
- også
- altid
- an
- analyseret
- ,
- En anden
- enhver
- api
- API'er
- app
- tilsyneladende
- vises
- kommer til syne
- Anvendelse
- applikationer
- tilgang
- apps
- APT
- Arab
- Arabiske Emirater
- arabisk
- arkitektonisk
- ER
- argument
- argumenter
- AS
- spørg
- At
- forsøger
- Forsøg på
- AUGUST
- Automatisk Ur
- automotive
- opmærksom på
- tilbage
- bagdør
- Bagdøre
- baggrund
- baseret
- batteri
- BE
- blev
- fordi
- været
- før
- adfærd
- Tro
- BEDSTE
- Bedre
- mellem
- Blanding
- både
- Brasilien
- browsere
- bygget
- men
- by
- C + +
- kaldet
- Kampagne
- Kampagner
- CAN
- kapaciteter
- hvilken
- tilfælde
- center
- Ændringer
- kontrollere
- kontrol
- valgt
- civile
- klar
- kode
- kodet
- indsamler
- Kolonne
- KOM
- kommerciel
- Kommunikation
- Kommunikation
- Virksomheder
- selskab
- sammenligning
- kompromis
- Kompromitteret
- computer
- udførelse
- Konfiguration
- BEKRÆFTET
- forvirrende
- tilsluttet
- tilslutning
- kontakt
- indeholder
- indhold
- fortsætter
- kontrol
- Konventionen
- kooperativ
- kunne
- lande
- land
- dækket
- Crash
- skaber
- Oprettelse af
- Legitimationsoplysninger
- Nuværende
- skik
- kunde
- Kundeoplevelse
- data
- Database
- databaser
- Dage
- dc
- december
- Standard
- Defenders
- definerede
- levere
- levering
- indsat
- implementering
- implementering
- beskrive
- beskrevet
- Design
- konstrueret
- detaljer
- opdaget
- Detektion
- Bestem
- bestemmer
- udviklere
- Udvikling
- Enheder
- Diamant
- opdage
- opdaget
- opdagelse
- fordeling
- forskelligartede
- gør
- domæne
- downloade
- droppet
- varighed
- i løbet af
- e
- hver
- lette
- Øst
- Uddannelse
- elektronisk
- Elektronik
- emirates
- selvstændige
- krypteret
- kryptering
- engagere
- beskæftiget
- Engineering
- Motorer
- Enigma
- Enterprise
- enheder
- miljømæssige
- fejl
- fejl
- ESET Research
- indlysende
- Undersøgelse
- eksempel
- udveksling
- udføre
- henrettet
- Udfører
- udførelse
- udførelse
- udgange
- erfaring
- Exploit
- Exploited
- udnytte
- mislykkedes
- Manglende
- retfærdigt
- få
- felt
- Fields
- Figur
- File (Felt)
- Filer
- finansielle
- finansielle tjenesteydelser
- finansielle serviceselskab
- Firm
- Fornavn
- efter
- mad
- Til
- format
- fundet
- fire
- fra
- fuld
- fuldt ud
- funktion
- funktioner
- Gevinst
- indsamlede
- genereret
- generere
- generation
- geografisk
- få
- given
- Global
- Go
- Regering
- tilskud
- stor
- gruppe
- Halvdelen
- hash
- hash'et
- Have
- Helse
- sygesikring
- sundhedspleje
- link.
- Skjule
- host
- Men
- HTML
- http
- HTTPS
- menneskelig
- menneskerettigheder
- i
- ID
- identificeret
- identificere
- if
- billede
- forbedring
- in
- I andre
- medtaget
- Herunder
- angiver
- angiver
- Indikatorer
- oplysninger
- Infrastruktur
- initial
- i første omgang
- Indleder
- Forespørgsler
- indvendig
- forsikring
- Intelligens
- interaktion
- interessant
- internt
- ind
- introduceret
- investering
- IP
- IP-adresse
- IP-adresser
- israel
- IT
- ITS
- selv
- Journalister
- holde
- Nøgle
- nøgler
- Kend
- kendt
- Mangel
- Efternavn
- senere
- Lov
- lag
- mindst
- Længde
- Sandsynlig
- Limited
- Line (linje)
- LINK
- Liste
- Børsnoterede
- lokale
- placeret
- længere
- leder
- UDSEENDE
- Maskiner
- lavet
- fastholder
- vedligeholdelse
- Flertal
- administrerer
- Produktion
- mange
- markedsplads
- Match
- Kan..
- MD5
- betyde
- midler
- Medier
- medicinsk
- lægebehandling
- Medicinsk forskning
- nævnte
- besked
- omhyggelig
- microsoft
- Mellemøsten
- Middle East
- måske
- tankerne
- minutter
- mangler
- model
- beskedne
- Modifikationer
- ændre
- modulær
- Moments
- overvågning
- mest
- multinationale
- flere
- navn
- Som hedder
- navngivning
- netværk
- net
- aldrig
- Ny
- Nyeste
- næste
- ingen
- node
- Ingen
- især
- roman
- november
- nu
- nummer
- numre
- opnå
- opnået
- Obvious
- of
- Tilbud
- tit
- on
- På stedet
- ONE
- dem
- online
- kun
- åbent
- open source
- betjene
- opererer
- drift
- operatør
- Operatører
- Opportunity
- modsætning
- or
- ordrer
- organisation
- organisatorisk
- organisationer
- original
- Andet
- vores
- ud
- udløb
- skitseret
- output
- i løbet af
- egen
- P&E
- pakket
- side
- pandemi
- del
- dele
- Bestået
- Adgangskode
- Nulstilling/ændring af adgangskoder
- forbi
- patch
- Mønster
- udholdenhed
- Personale
- lægemidler
- fysisk
- Almindeligt
- plato
- Platon Data Intelligence
- PlatoData
- Vær venlig
- Punkt
- Synspunkt
- punkter
- del
- mulig
- potentiale
- potentielt
- magt
- præsentere
- tidligere
- tidligere
- primære
- private
- privilegier
- sandsynligvis
- behandle
- forarbejdning
- Produkter
- Program
- progression
- beskyttet
- beskyttelse
- forudsat
- udbyder
- giver
- offentliggjort
- trækker
- skubbet
- R
- tilfældig
- Tilfældigt
- hellere
- nå
- modtage
- modtaget
- modtager
- opsving
- benævnt
- om
- register
- register
- relaterede
- forblive
- reparere
- GENTAGNE GANGE
- erstatte
- udskiftes
- indberette
- rapporteret
- Rapporter
- repræsentation
- anmode
- anmodninger
- kræver
- Kræver
- forskning
- forskere
- resultere
- detailhandler
- vende
- revisioner
- rettigheder
- royalties
- Kør
- kører
- samme
- så
- scanne
- scanning
- sekunder
- se
- send
- afsendelse
- sender
- sendt
- september
- Servere
- tjeneste
- Tjenester
- servicevirksomhed
- sæt
- flere
- Shell
- Vis
- vist
- Shows
- side
- Syn
- signifikant
- lignende
- Simpelt
- websted
- hud
- søvn
- So
- Software
- Løsninger
- nogle
- Kilde
- specialiseret
- speciale
- specificeret
- sponsorere
- sponsorere
- Spot
- Stage
- standard
- starter
- opstart
- Stater
- Steps
- butik
- opbevaret
- forhandler
- strejke
- String
- struktur
- efterfølgende
- Efterfølgende
- succes
- Succesfuld
- tilført
- leverandør
- support
- Støtte
- systemet
- Systemer
- bord
- Tag
- taget
- mål
- målrettet
- rettet mod
- mål
- Teknologier
- telekommunikation
- ti
- semester
- tekst
- end
- at
- oplysninger
- verdenen
- deres
- derefter
- Der.
- derved
- Disse
- de
- Tredje
- denne
- dem
- trussel
- hele
- tid
- tidslinje
- TM
- til
- sammen
- værktøj
- værktøjer
- I alt
- spor
- behandling
- retssag
- tunnel
- TUR
- to
- ude af stand
- Forenet
- De Forenede Arabiske
- Forenede Arabiske Emirater
- Forenede Stater
- indtil
- Opdatering
- opdateret
- opdateringer
- på
- URL
- us
- brug
- anvendte
- brugere
- bruger
- ved brug af
- nytte
- udnyttet
- Ved hjælp af
- v1
- værdi
- Værdier
- række
- forskellige
- udgave
- versioner
- vertikaler
- Victim
- ofre
- Specifikation
- Besøg
- Sårbarheder
- sårbarhed
- Sårbar
- var
- we
- web
- Webbrowsere
- GODT
- var
- Hvad
- hvornår
- ud fra følgende betragtninger
- hvorvidt
- som
- mens
- bred
- bredde
- vindue
- vinduer
- med
- inden for
- uden
- arbejder
- world
- Verdens Sundhedsorganisation
- ville
- skriver
- skriftlig
- år
- Ja
- zephyrnet
- nul
