ESET-Forscher entdeckten eine Ballistic Bobcat-Kampagne, die auf verschiedene Unternehmen in Brasilien, Israel und den Vereinigten Arabischen Emiraten abzielte und dabei eine neuartige Hintertür nutzte, die wir Sponsor nannten.
Wir haben Sponsor entdeckt, nachdem wir eine interessante Probe analysiert hatten, die wir im Mai 2022 auf dem System eines Opfers in Israel entdeckt hatten, und die Opfergruppe nach Ländern sortiert hatten. Bei der Untersuchung wurde uns klar, dass es sich bei der Probe um eine neuartige Hintertür handelte, die von der Ballistic Bobcat APT-Gruppe eingesetzt wurde.
Ballistic Bobcat, zuvor von ESET Research als APT35/APT42 (auch bekannt als Charming Kitten, TA453 oder PHOSPHORUS) verfolgt, steht im Verdacht Mit dem Iran verbündete Gruppe fortgeschrittener anhaltender Bedrohungen Zielgruppe sind Bildungs-, Regierungs- und Gesundheitsorganisationen sowie Menschenrechtsaktivisten und Journalisten. Am aktivsten ist es in Israel, im Nahen Osten und in den Vereinigten Staaten. Während der Pandemie zielte es insbesondere auf Organisationen ab, die mit COVID-19 zu tun haben, darunter die Weltgesundheitsorganisation und Gilead Pharmaceuticals, sowie auf medizinisches Forschungspersonal.
Überschneidungen zwischen Ballistic Bobcat-Kampagnen und Sponsor-Backdoor-Versionen zeigen ein ziemlich klares Muster der Tool-Entwicklung und -Bereitstellung mit eng zielgerichteten Kampagnen von jeweils begrenzter Dauer. Anschließend entdeckten wir vier weitere Versionen der Sponsor-Hintertür. Insgesamt sahen wir Sponsor-Einsätze bei mindestens 34 Opfern in Brasilien, Israel und den Vereinigten Arabischen Emiraten, wie in beschrieben REF _Ref143075975 h Abbildung 1
.
Kernpunkte dieses Blogposts:
- Wir haben eine neue von Ballistic Bobcat eingesetzte Hintertür entdeckt, die wir anschließend Sponsor nannten.
- Ballistic Bobcat setzte die neue Hintertür im September 2021 ein, als es die in CISA Alert AA21-321A dokumentierte Kampagne und die PowerLess-Kampagne abschloss.
- Die Sponsor-Backdoor verwendet auf der Festplatte gespeicherte Konfigurationsdateien. Diese Dateien werden diskret von Batch-Dateien bereitgestellt und absichtlich so gestaltet, dass sie harmlos erscheinen, wodurch versucht wird, der Erkennung durch Scan-Engines zu entgehen.
- Der Sponsor wurde für mindestens 34 Opfer in Brasilien, Israel und den Vereinigten Arabischen Emiraten eingesetzt; Wir haben diese Aktivität „Sponsoring Access“-Kampagne genannt.
Erster Zugriff
Ballistic Bobcat verschaffte sich ersten Zugang, indem es bekannte Schwachstellen in dem Internet ausgesetzten Microsoft Exchange-Servern ausnutzte, indem es zunächst sorgfältige Scans des Systems oder Netzwerks durchführte, um potenzielle Schwachstellen oder Schwachstellen zu identifizieren, und diese identifizierten Schwachstellen anschließend gezielt ausnutzte. Es ist seit einiger Zeit bekannt, dass die Gruppe dieses Verhalten an den Tag legt. Viele der 34 Opfer, die in der ESET-Telemetrie identifiziert wurden, lassen sich jedoch am besten als Gelegenheitsopfer und nicht als vorausgewählte und recherchierte Opfer beschreiben, da wir vermuten, dass Ballistic Bobcat an dem oben beschriebenen Scan-and-Exploit-Verhalten beteiligt war, da dies nicht die einzige Bedrohung war Akteur mit Zugriff auf diese Systeme. Wir haben diese Ballistic Bobcat-Aktivität, die die Sponsor-Hintertür nutzt, „Sponsoring Access-Kampagne“ genannt.
Die Sponsor-Backdoor verwendet Konfigurationsdateien auf der Festplatte, die von Batch-Dateien gelöscht werden, und beide sind harmlos, um Scan-Engines zu umgehen. Diesen modularen Ansatz hat Ballistic Bobcat in den letzten zweieinhalb Jahren häufig und mit mäßigem Erfolg angewendet. Auf kompromittierten Systemen nutzt Ballistic Bobcat außerdem weiterhin eine Vielzahl von Open-Source-Tools, die wir – zusammen mit der Sponsor-Backdoor – in diesem Blogbeitrag beschreiben.
Victimology
Eine deutliche Mehrheit der 34 Opfer befand sich in Israel, nur zwei befanden sich in anderen Ländern:
- Brasilien, bei einer Ärztegenossenschaft und einem Krankenversicherungsträger, und
- den Vereinigten Arabischen Emiraten, bei einer unbekannten Organisation.
REF _Ref112861418 h Tisch 1
beschreibt die Branchen und organisatorischen Details für Opfer in Israel.
Tisch SEQ-Tabelle * ARABISCH 1. Vertikale und organisatorische Details für Opfer in Israel
|
Vertikale |
Details |
|
Automotive |
· Ein Automobilunternehmen, das sich auf kundenspezifische Modifikationen spezialisiert hat. · Ein Kfz-Reparatur- und Wartungsunternehmen. |
|
Kommunikation |
· Ein israelisches Medienunternehmen. |
|
Entwicklung |
· Ein Tiefbauunternehmen. · Ein Umwelttechnikunternehmen. · Ein Architekturbüro. |
|
Finanzdienstleistungen |
· Ein Finanzdienstleistungsunternehmen, das auf Anlageberatung spezialisiert ist. · Ein Unternehmen, das Lizenzgebühren verwaltet. |
|
Gesundheitswesen |
· Ein medizinischer Leistungserbringer. |
|
Versicherungen |
· Eine Versicherungsgesellschaft, die einen Versicherungsmarktplatz betreibt. · Eine gewerbliche Versicherungsgesellschaft. |
|
Recht |
· Eine auf Medizinrecht spezialisierte Kanzlei. |
|
Fertigung |
· Mehrere Elektronikfertigungsunternehmen. · Ein Unternehmen, das kommerzielle Produkte auf Metallbasis herstellt. · Ein multinationales Technologieunternehmen. |
|
Einzelhandel |
· Ein Lebensmittelhändler. · Ein multinationaler Diamantenhändler. · Ein Einzelhändler für Hautpflegeprodukte. · Ein Einzelhändler und Installateur für Fensterbehandlungen. · Ein globaler Lieferant elektronischer Teile. · Ein Anbieter für physische Zugangskontrolle. |
|
Technologie |
· Ein Unternehmen für IT-Dienstleistungstechnologie. · Ein Anbieter von IT-Lösungen. |
|
Telekommunikation |
· Ein Telekommunikationsunternehmen. |
|
Unbekannt |
· Mehrere nicht identifizierte Organisationen. |
Anrechnung
Im August 2021 wurde das oben genannte israelische Opfer, das einen Versicherungsmarktplatz betreibt, von Ballistic Bobcat mit den Werkzeugen angegriffen CISA berichtete im November 2021. Die von uns beobachteten Kompromissindikatoren sind:
- MicrosoftOutlookUpdateSchedule,
- MicrosoftOutlookUpdateSchedule.xml,
- GoogleChangeManagement und
- GoogleChangeManagement.xml.
Ballistic Bobcat-Tools kommunizierten mit demselben Befehls- und Kontrollserver (C&C) wie im CISA-Bericht: 162.55.137[.]20.
Dann, im September 2021, erhielt dasselbe Opfer die nächste Generation von Ballistic Bobcat-Geräten: das PowerLess-Hintertür und sein unterstützendes Toolset. Die von uns beobachteten Kompromissindikatoren waren:
- http://162.55.137[.]20/gsdhdDdfgA5sS/ff/dll.dll,
- windowsprocesses.exe und
- http://162.55.137[.]20/gsdhdDdfgA5sS/ff/windowsprocesses.exe.
On November 18thIm Jahr 2021 setzte die Gruppe dann ein weiteres Tool ein (Plink), das im CISA-Bericht behandelt wurde, as MicrosoftOutLookUpdater.exe. Zehn Tage später, am 28. Novemberth, 2021, Ballistic Bobcat setzte das ein Merlin-Agent (der Agententeil einer Open-Source-Post-Exploitation-C&C-Server und -Agent, geschrieben in Go). Auf der Festplatte wurde dieser Merlin-Agent benannt googleUpdate.exe, wobei die gleiche Namenskonvention wie im CISA-Bericht verwendet wird, um sich vor den Augen zu verstecken.
Der Merlin-Agent führte eine Meterpreter-Reverse-Shell aus, die einen neuen C&C-Server zurückrief. 37.120.222[.]168:80. Am 12. Dezemberth, 2021, die Reverse-Shell hat eine Batch-Datei abgelegt, install.bat, und innerhalb weniger Minuten nach der Ausführung der Batch-Datei öffneten die Betreiber von Ballistic Bobcat ihre neueste Hintertür, Sponsor. Dabei handelte es sich um die dritte Version der Hintertür.
Technische Analyse
Erster Zugriff
Für 23 der 34 Opfer, die wir in der ESET-Telemetrie beobachtet haben, konnten wir einen wahrscheinlichen Erstzugriffsweg identifizieren. Ähnlich wie im Bericht Machtlos und CISA Berichten zufolge hat Ballistic Bobcat wahrscheinlich eine bekannte Sicherheitslücke ausgenutzt. CVE-2021-26855, in Microsoft Exchange-Servern, um auf diesen Systemen Fuß zu fassen.
Bei 16 der 34 Opfer scheint Ballistic Bobcat nicht der einzige Bedrohungsakteur mit Zugriff auf ihre Systeme gewesen zu sein. Zusammen mit der großen Vielfalt an Opfern und dem offensichtlichen Mangel an offensichtlichem Geheimdienstwert bei einigen wenigen Opfern könnte dies darauf hindeuten, dass Ballistic Bobcat sich an Scan-and-Exploit-Verhalten beteiligte und nicht an einer gezielten Kampagne gegen vorab ausgewählte Opfer.
Werkzeugsatz
Open-Source-Tools
Ballistic Bobcat setzte während der Sponsoring Access-Kampagne eine Reihe von Open-Source-Tools ein. Diese Tools und ihre Funktionen sind in aufgeführt REF _Ref112861458 h Tisch 2
.
Tisch SEQ-Tabelle * ARABISCH 2. Von Ballistic Bobcat verwendete Open-Source-Tools
|
Dateiname |
Beschreibung |
host2ip.exe
|
Karten a Hostnamen zu einer IP-Adresse innerhalb des lokalen Netzwerks. |
CSRSS.EXE
|
RevSocks, eine Reverse-Tunnel-Anwendung. |
mi.exe
|
Mimikatz, mit einem ursprünglichen Dateinamen von midongle.exe und verpackt mit der Armadillo PE-Packer. |
gost.exe
|
GO Einfacher Tunnel (GOST), eine in Go geschriebene Tunnelanwendung. |
chisel.exe
|
Meißel, ein TCP/UDP-Tunnel über HTTP unter Verwendung von SSH-Schichten. |
csrss_protected.exe
|
RevSocks-Tunnel, geschützt mit der Testversion von Enigma Protector-Softwareschutz. |
plink.exe
|
Plink (PuTTY Link), ein Befehlszeilen-Verbindungstool. |
|
WebBrowserPassView.exe
|
A Passwort-Wiederherstellungstool für in Webbrowsern gespeicherte Passwörter.
|
sqlextractor.exe
|
A Werkzeug für die Interaktion mit und das Extrahieren von Daten aus SQL-Datenbanken. |
procdump64.exe
|
Procdump, eine Sysinternals-Befehlszeilendienstprogramm zum Überwachen von Anwendungen und zum Generieren von Absturzdumps. |
Stapeldateien
Ballistic Bobcat stellte kurz vor der Bereitstellung der Sponsor-Hintertür Batchdateien auf den Systemen der Opfer bereit. Die uns bekannten Dateipfade sind:
- C:inetpubwwwrootaspnet_clientInstall.bat
- %USERPROFILE%DesktopInstall.bat
- %WINDOWS%TasksInstall.bat
Leider konnten wir keine dieser Batchdateien erhalten. Wir glauben jedoch, dass sie harmlose Konfigurationsdateien auf die Festplatte schreiben, die die Sponsor-Hintertür benötigt, um vollständig zu funktionieren. Diese Konfigurationsdateinamen wurden von den Sponsor-Hintertüren übernommen, aber nie erfasst:
- config.txt
- node.txt
- error.txt
- Deinstallieren.bat
Wir glauben, dass die Batchdateien und Konfigurationsdateien Teil des modularen Entwicklungsprozesses sind, den Ballistic Bobcat in den letzten Jahren favorisiert hat.
Sponsor-Hintertür
Sponsor-Hintertüren werden in C++ mit Kompilierungszeitstempeln und Programmdatenbankpfaden (PDB) geschrieben, wie in gezeigt REF _Ref112861527 h Tisch 3
. Ein Hinweis zu Versionsnummern: die Spalte Version stellt die Version dar, die wir intern verfolgen, basierend auf der linearen Entwicklung der Sponsor-Hintertüren, bei denen Änderungen von einer Version zur nächsten vorgenommen werden. Der Interne Version Die Spalte enthält die in jeder Sponsor-Hintertür beobachteten Versionsnummern und dient dem leichteren Vergleich bei der Untersuchung dieser und anderer potenzieller Sponsor-Beispiele.
Tisch 3. Sponsor-Kompilierungszeitstempel und PDBs
|
Version |
Interne Version |
Zeitstempel der Kompilierung |
PDB |
|
1 |
1.0.0 |
2021-08-29 09:12:51 |
D:TempBD_Plus_SrvcReleaseBD_Plus_Srvc.pdb |
|
2 |
1.0.0 |
2021-10-09 12:39:15 |
D:TempSponsorReleaseSponsor.pdb |
|
3 |
1.4.0 |
2021-11-24 11:51:55 |
D:TempSponsorReleaseSponsor.pdb |
|
4 |
2.1.1 |
2022-02-19 13:12:07 |
D:TempSponsorReleaseSponsor.pdb |
|
5 |
1.2.3.0 |
2022-06-19 14:14:13 |
D:TempAluminaReleaseAlumina.pdb |
Die anfängliche Ausführung von Sponsor erfordert das Laufzeitargument installieren, ohne das der Sponsor ordnungsgemäß beendet wird, wahrscheinlich eine einfache Anti-Emulation/Anti-Sandbox-Technik. Wenn dieses Argument übergeben wird, erstellt der Sponsor einen Dienst namens SystemNetzwerk (in v1) und Aktualisierung (in allen anderen Versionen). Es legt die Dienste fest Starttyp zu automatischeund stellt es so ein, dass es seinen eigenen Sponsorprozess ausführt, und gewährt ihm vollen Zugriff. Anschließend wird der Dienst gestartet.
Sponsor, der jetzt als Dienst ausgeführt wird, versucht, die oben genannten Konfigurationsdateien zu öffnen, die zuvor auf der Festplatte abgelegt wurden. Es sucht config.txt und node.txt, beide im aktuellen Arbeitsverzeichnis. Fehlt der erste, setzt der Sponsor den Dienst auf Gestoppt und geht elegant ab.
Backdoor-Konfiguration
Konfiguration des Sponsors, gespeichert in config.txt, enthält zwei Felder:
- Ein Aktualisierungsintervall in Sekunden, um den C&C-Server regelmäßig für Befehle zu kontaktieren.
- Eine Liste von C&C-Servern, bezeichnet als Relais in den Binärdateien des Sponsors.
Die C&C-Server werden verschlüsselt gespeichert (RC4), und der Entschlüsselungsschlüssel befindet sich in der ersten Zeile von config.txt. Jedes der Felder, einschließlich des Entschlüsselungsschlüssels, hat das in gezeigte Format REF _Ref142647636 h Abbildung 3
.
Diese Unterfelder sind:
- config_start: gibt die Länge von an Konfigurationsname, falls vorhanden, oder Null, wenn nicht. Wird von der Hintertür verwendet, um zu wissen, wo config_data beginnt
- config_len: Länge von config_data.
- Konfigurationsname: optional, enthält einen Namen für das Konfigurationsfeld.
- config_data: die Konfiguration selbst, verschlüsselt (im Fall von C&C-Servern) oder nicht (alle anderen Felder).
REF _Ref142648473 h Abbildung 4
zeigt ein Beispiel mit farbcodierten Inhalten einer möglichen config.txt Datei. Beachten Sie, dass es sich hierbei nicht um eine tatsächliche Datei handelt, die wir beobachtet haben, sondern um ein erfundenes Beispiel.
Die letzten beiden Felder in config.txt werden mit RC4 verschlüsselt, wobei die Zeichenfolgendarstellung des SHA-256-Hashs des angegebenen Entschlüsselungsschlüssels als Schlüssel zum Verschlüsseln der Daten verwendet wird. Wir sehen, dass die verschlüsselten Bytes hexadezimal kodiert als ASCII-Text gespeichert werden.
Sammeln von Host-Informationen
Der Sponsor sammelt Informationen über den Host, auf dem er läuft, meldet alle gesammelten Informationen an den C&C-Server und erhält eine Knoten-ID, auf die geschrieben wird node.txt. REF _Ref142653641 h Tisch 4
REF _Ref112861575 h
listet Schlüssel und Werte in der Windows-Registrierung auf, die der Sponsor zum Abrufen der Informationen verwendet, und stellt ein Beispiel für die gesammelten Daten bereit.
Tabelle 4. Vom Sponsor gesammelte Informationen
|
Registrierungsschlüssel |
Wert |
Beispiel |
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
|
Hostname
|
D-835MK12
|
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTimeZoneInformation
|
TimeZoneKeyName
|
Israel Standardzeit
|
HKEY_USERS.DEFAULTControl PanelInternational
|
Gebietsschemaname
|
he-IL
|
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemBIOS
|
BaseBoardProdukt
|
10NX0010IL
|
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessor
|
ProzessornameString
|
Intel(R) Core(TM) i7-8565U CPU mit 1.80 GHz
|
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion
|
Produktname
|
Windows 10 Enterprise N
|
CurrentVersion
|
6.3
|
|
AktuelleBuildNummer
|
19044
|
|
Installationstyp
|
Kunden
|
Der Sponsor erfasst auch die Windows-Domäne des Hosts, indem er Folgendes verwendet WMIC Befehl:
WMIC-Computersystem erhält Domäne
Schließlich verwendet der Sponsor Windows-APIs, um den aktuellen Benutzernamen zu erfassen (GetUserNameW), bestimmen Sie, ob der aktuelle Sponsorprozess als 32- oder 64-Bit-Anwendung ausgeführt wird (GetCurrentProcess und dann IsWow64Process(CurrentProcess)) und bestimmt, ob das System mit Batteriestrom betrieben wird oder an eine Wechsel- oder Gleichstromquelle angeschlossen ist (GetSystemPowerStatus).
Eine Kuriosität bei der 32- oder 64-Bit-Anwendungsprüfung besteht darin, dass alle beobachteten Sponsor-Beispiele 32-Bit waren. Dies könnte bedeuten, dass einige der Tools der nächsten Stufe diese Informationen benötigen.
Die gesammelten Informationen werden in einer Base64-codierten Nachricht gesendet, die vor der Codierung mit beginnt r und hat das in gezeigte Format REF _Ref142655224 h Abbildung 5
.
Die Informationen werden mit RC4 verschlüsselt und der Verschlüsselungsschlüssel ist eine vor Ort generierte Zufallszahl. Der Schlüssel wird mit dem MD5-Algorithmus gehasht, nicht mit SHA-256, wie bereits erwähnt. Dies gilt für alle Kommunikationen, bei denen der Sponsor verschlüsselte Daten senden muss.
Der C&C-Server antwortet mit einer Nummer, die zur Identifizierung des betroffenen Computers in späteren Kommunikationen verwendet wird, an die geschrieben wird node.txt. Beachten Sie, dass der C&C-Server zufällig aus der Liste ausgewählt wird, wenn der r Die Nachricht wird gesendet und für alle nachfolgenden Kommunikationen wird derselbe Server verwendet.
Befehlsverarbeitungsschleife
Der Sponsor fordert Befehle in einer Schleife an und schläft gemäß dem in definierten Intervall config.txt. Die Schritte sind:
- Sende ein chk=Test Nachricht wiederholt, bis der C&C-Server antwortet Ok.
- Sende ein c (IS_CMD_AVAIL) Nachricht an den C&C-Server senden und einen Bedienerbefehl empfangen.
- Verarbeiten Sie den Befehl.
- Wenn eine Ausgabe an den C&C-Server gesendet werden soll, senden Sie eine a (ACK) Nachricht, einschließlich der Ausgabe (verschlüsselt), oder
- Wenn die Ausführung fehlgeschlagen ist, senden Sie eine f
(FAILED) Nachricht. Die Fehlermeldung wird nicht gesendet.
- Schlafen.
Das c Die Nachricht wird gesendet, um die Ausführung eines Befehls anzufordern, und hat das in gezeigte Format (vor Base64-Codierung). REF _Ref142658017 h Abbildung 6
.
Das verschlüsselt_none Das Feld in der Abbildung ist das Ergebnis der Verschlüsselung der hartcodierten Zeichenfolge Andere mit RC4. Der Schlüssel für die Verschlüsselung ist der MD5-Hash von node_id.
Die zur Kontaktaufnahme mit dem C&C-Server verwendete URL ist wie folgt aufgebaut: http://<IP_or_domain>:80. Das könnte ein Hinweis darauf sein 37.120.222[.]168:80 ist der einzige C&C-Server, der während der Sponsoring Access-Kampagne verwendet wurde, da es sich um die einzige IP-Adresse handelte, die wir beobachteten, als Opfercomputer über Port 80 eine Verbindung herstellten.
Bedienerbefehle
Bedienerbefehle sind in beschrieben REF _Ref112861551 h Tisch 5
und erscheinen in der Reihenfolge, in der sie im Code vorkommen. Die Kommunikation mit dem C&C-Server erfolgt über Port 80.
Tabelle 5. Bedienerbefehle und Beschreibungen
|
Befehl |
Beschreibung |
|
p |
Sendet die Prozess-ID für den laufenden Sponsor-Prozess. |
|
e |
Führt einen Befehl, wie in einem nachfolgenden zusätzlichen Argument angegeben, auf dem Sponsor-Host unter Verwendung der folgenden Zeichenfolge aus: c:windowssystem32cmd.exe /c > result.txt 2>&1 Die Ergebnisse werden in gespeichert result.txt im aktuellen Arbeitsverzeichnis. Sendet eine a Bei erfolgreicher Ausführung wird eine Nachricht mit der verschlüsselten Ausgabe an den C&C-Server gesendet. Wenn dies fehlschlägt, wird eine gesendet f Nachricht (ohne Angabe des Fehlers). |
|
d |
Empfängt eine Datei vom C&C-Server und führt sie aus. Dieser Befehl hat viele Argumente: den Zieldateinamen, in den die Datei geschrieben werden soll, den MD5-Hash der Datei, ein Verzeichnis, in das die Datei geschrieben werden soll (oder standardmäßig das aktuelle Arbeitsverzeichnis), einen booleschen Wert, der angibt, ob die Datei ausgeführt werden soll oder nicht, und der Inhalt der ausführbaren Datei ist base64-codiert. Wenn keine Fehler auftreten, wird ein a Die Nachricht wird mit an den C&C-Server gesendet Datei erfolgreich hochladen und ausführen or Datei erfolgreich ohne Ausführung hochladen (verschlüsselt). Sollten bei der Ausführung der Datei Fehler auftreten, wird ein f Nachricht wird gesendet. Wenn der MD5-Hash des Inhalts der Datei nicht mit dem bereitgestellten Hash übereinstimmt, wird ein e (CRC_ERROR)-Nachricht wird an den C&C-Server gesendet (nur mit dem verwendeten Verschlüsselungsschlüssel und ohne weitere Informationen). Die Verwendung des Begriffs Hochladen Dies ist möglicherweise verwirrend, da die Betreiber und Programmierer von Ballistic Bobcat den Standpunkt von der Serverseite einnehmen, während viele dies als einen Download betrachten könnten, der auf dem Abrufen der Datei (d. h. dem Herunterladen) durch das System mithilfe der Sponsor-Hintertür basiert. |
|
u |
Versucht, eine Datei mit dem herunterzuladen URLDownloadFileW Windows-API und führen Sie sie aus. Erfolg sendet eine a Nachricht mit dem verwendeten Verschlüsselungsschlüssel und ohne weitere Informationen. Bei einem Fehler wird eine gesendet f Nachricht mit ähnlicher Struktur. |
|
s |
Führt eine Datei aus, die sich bereits auf der Festplatte befindet. Deinstallieren.bat im aktuellen Arbeitsverzeichnis, das höchstwahrscheinlich Befehle zum Löschen von Dateien enthält, die mit der Hintertür in Zusammenhang stehen. |
|
n |
Dieser Befehl kann explizit von einem Operator bereitgestellt oder vom Sponsor als auszuführender Befehl abgeleitet werden, wenn kein anderer Befehl vorhanden ist. Wird innerhalb des Sponsors als bezeichnet NO_CMD, führt es einen zufälligen Ruhezustand aus, bevor es sich erneut beim C&C-Server meldet. |
|
b |
Aktualisiert die Liste der gespeicherten C&Cs config.txt im aktuellen Arbeitsverzeichnis. Die neuen C&C-Adressen ersetzen die bisherigen; Sie werden nicht zur Liste hinzugefügt. Es sendet eine a Nachricht mit |
|
i |
Aktualisiert das vorgegebene Check-in-Intervall, das in angegeben ist config.txt. Es sendet eine a Nachricht mit Neues Intervall erfolgreich ersetzt bei erfolgreicher Aktualisierung an den C&C-Server gesendet. |
Updates zum Sponsor
Ballistic Bobcat-Programmierer haben Coderevisionen zwischen Sponsor v1 und v2 vorgenommen. Die beiden bedeutendsten Änderungen bei Letzterem sind:
- Optimierung des Codes, bei dem mehrere längere Funktionen in Funktionen und Unterfunktionen minimiert wurden, und
- Tarnung des Sponsors als Aktualisierungsprogramm durch Einfügen der folgenden Meldung in die Dienstkonfiguration:
App-Updates sind sowohl für App-Benutzer als auch für Apps großartig – Updates bedeuten, dass Entwickler ständig an der Verbesserung der App arbeiten und dabei mit jedem Update ein besseres Kundenerlebnis im Auge behalten.
Netzwerkinfrastruktur
Zusätzlich zur Nutzung der C&C-Infrastruktur, die in der PowerLess-Kampagne verwendet wurde, führte Ballistic Bobcat auch einen neuen C&C-Server ein. Die Gruppe nutzte außerdem mehrere IPs, um während der Sponsoring Access-Kampagne Support-Tools zu speichern und bereitzustellen. Wir haben bestätigt, dass derzeit keine dieser IPs in Betrieb ist.
Zusammenfassung
Ballistic Bobcat arbeitet weiterhin nach einem Scan-and-Exploit-Modell und sucht nach potenziellen Angriffszielen mit ungepatchten Schwachstellen auf dem Internet ausgesetzten Microsoft Exchange-Servern. Die Gruppe nutzt weiterhin ein vielfältiges Open-Source-Toolset, ergänzt durch mehrere benutzerdefinierte Anwendungen, einschließlich der Sponsor-Backdoor. Verteidiger sind gut beraten, alle mit dem Internet verbundenen Geräte zu patchen und wachsam zu bleiben, wenn in ihren Unternehmen neue Anwendungen auftauchen.
Bei Fragen zu unseren auf WeLiveSecurity veröffentlichten Forschungsergebnissen kontaktieren Sie uns bitte unter Bedrohungintel@eset.com.
ESET Research bietet private APT-Intelligence-Berichte und Daten-Feeds. Bei Fragen zu diesem Service besuchen Sie bitte die ESET Threat Intelligence
IoCs
Mappen
|
SHA-1 |
Dateiname |
Entdeckung |
Beschreibung |
098B9A6CE722311553E1D8AC5849BA1DC5834C52
|
N / A |
Win32/Agent.UXG |
Ballistic Bobcat-Hintertür, Sponsor (v1). |
5AEE3C957056A8640041ABC108D0B8A3D7A02EBD
|
N / A |
Win32/Agent.UXG |
Ballistic Bobcat-Hintertür, Sponsor (v2). |
764EB6CA3752576C182FC19CFF3E86C38DD51475
|
N / A |
Win32/Agent.UXG |
Ballistic Bobcat-Hintertür, Sponsor (v3). |
2F3EDA9D788A35F4C467B63860E73C3B010529CC
|
N / A |
Win32/Agent.UXG |
Ballistic Bobcat-Hintertür, Sponsor (v4). |
E443DC53284537513C00818392E569C79328F56F
|
N / A |
Win32/Agent.UXG |
Ballistic Bobcat-Hintertür, Sponsor (v5, auch bekannt als Alumina). |
C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61
|
N / A |
WinGo/Agent.BT |
RevSocks Reverse-Tunnel. |
39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6
|
N / A |
reinigen |
ProcDump, ein Befehlszeilenprogramm zum Überwachen von Anwendungen und zum Generieren von Absturzdumps. |
A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A
|
N / A |
Allgemein.EYWYQYF |
Mimikatz. |
5D60C8507AC9B840A13FFDF19E3315A3E14DE66A
|
N / A |
WinGo/Riskware.Gost.D |
GO Einfacher Tunnel (GOST). |
50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617
|
N / A |
WinGo/HackTool.Chisel.A |
Meißel-Umkehrtunnel. |
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252
|
N / A |
N / A |
Host2IP-Erkennungstool. |
519CA93366F1B1D71052C6CE140F5C80CE885181
|
N / A |
Win64/Packed.Enigma.BV |
RevSocks-Tunnel, geschützt mit der Testversion des Enigma Protector-Softwareschutzes. |
4709827C7A95012AB970BF651ED5183083366C79
|
N / A |
N / A |
Plink (PuTTY Link), ein Befehlszeilen-Verbindungstool. |
99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8
|
N / A |
Win32/PSWTool.WebBrowserPassView.I |
Ein Tool zur Passwortwiederherstellung für in Webbrowsern gespeicherte Passwörter. |
E52AA118A59502790A4DD6625854BD93C0DEAF27
|
N / A |
MSIL/HackTool.SQLDump.A |
Ein Tool zur Interaktion mit und zum Extrahieren von Daten aus SQL-Datenbanken. |
Dateipfade
Im Folgenden finden Sie eine Liste der Pfade, auf denen die Sponsor-Backdoor auf betroffenen Computern eingesetzt wurde.
%SYSTEMDRIVE%inetpubwwwrootaspnet_client
%USERPROFILE%AppDataLocalTempfile
%USERPROFILE%AppDataLocalTemp2low
% USERPROFILE% Desktop
%USERPROFILE%Downloadsa
%WINDIR%
%WINDIR%INFMSExchange Delivery DSN
%WINDIR%Aufgaben
%WINDIR%Temp%WINDIR%Tempcrashpad1Dateien
Netzwerk
IP
Provider
Zum ersten Mal gesehen
Zuletzt gesehen
Details
162.55.137[.]20
Hetzner Online GMBH
2021-06-14
2021-06-15
PowerLess C&C.
37.120.222[.]168
M247 LTD
2021-11-28
2021-12-12
Sponsor von C&C.
198.144.189[.]74
Kolocrossing
2021-11-29
2021-11-29
Support-Tools-Downloadseite.
5.255.97[.]172
Die Infrastructure Group B.V.
2021-09-05
2021-10-28
Support-Tools-Downloadseite.
IP
Provider
Zum ersten Mal gesehen
Zuletzt gesehen
Details
162.55.137[.]20
Hetzner Online GMBH
2021-06-14
2021-06-15
PowerLess C&C.
37.120.222[.]168
M247 LTD
2021-11-28
2021-12-12
Sponsor von C&C.
198.144.189[.]74
Kolocrossing
2021-11-29
2021-11-29
Support-Tools-Downloadseite.
5.255.97[.]172
Die Infrastructure Group B.V.
2021-09-05
2021-10-28
Support-Tools-Downloadseite.
Diese Tabelle wurde mit erstellt Version 13 des MITRE ATT&CK-Frameworks.
|
Taktik |
ID |
Name und Vorname |
Beschreibung |
|
Aufklärung |
Aktives Scannen: Schwachstellenscan |
Ballistic Bobcat sucht nach anfälligen Versionen von Microsoft Exchange Servern, die ausgenutzt werden können. |
|
|
Ressourcenentwicklung |
Entwicklungsfähigkeiten: Malware |
Ballistic Bobcat hat die Sponsor-Hintertür entworfen und programmiert. |
|
|
Besorgen Sie sich Fähigkeiten: Werkzeug |
Ballistic Bobcat nutzt im Rahmen der Sponsoring Access-Kampagne verschiedene Open-Source-Tools. |
||
|
Erster Zugriff |
Öffentlich zugängliche Anwendung ausnutzen |
Ballistische Bobcat-Ziele im Internet sichtbar Microsoft Exchange-Server. |
|
|
ausführung |
Befehls- und Skriptinterpreter: Windows-Befehlsshell |
Die Sponsor-Backdoor nutzt die Windows-Befehlsshell, um Befehle auf dem System des Opfers auszuführen. |
|
|
Systemdienste: Dienstausführung |
Die Sponsor-Hintertür stellt sich selbst als Dienst ein und initiiert ihre Hauptfunktionen, nachdem der Dienst ausgeführt wurde. |
||
|
Beharrlichkeit |
Systemprozess erstellen oder ändern: Windows-Dienst |
Der Sponsor erhält die Persistenz aufrecht, indem er einen Dienst mit automatischem Start erstellt, der seine Hauptfunktionen in einer Schleife ausführt. |
|
|
Privilegien Eskalation |
Gültige Konten: Lokale Konten |
Ballistic Bobcat-Betreiber versuchen, Anmeldeinformationen gültiger Benutzer zu stehlen, nachdem sie zunächst ein System ausgenutzt haben, bevor sie die Sponsor-Hintertür einsetzen. |
|
|
Verteidigungsflucht |
Enthüllen/Dekodieren von Dateien oder Informationen |
Sponsor speichert Informationen verschlüsselt und verschleiert auf der Festplatte und entschleiert sie zur Laufzeit. |
|
|
Verschleierte Dateien oder Informationen |
Konfigurationsdateien, die die Sponsor-Backdoor auf der Festplatte benötigt, werden verschlüsselt und verschleiert. |
||
|
Gültige Konten: Lokale Konten |
Sponsor wird mit Administratorrechten ausgeführt, wahrscheinlich unter Verwendung von Anmeldeinformationen, die die Bediener auf der Festplatte gefunden haben; Zusammen mit den harmlosen Namenskonventionen von Ballistic Bobcat ermöglicht dies es Sponsor, mit dem Hintergrund zu verschmelzen. |
||
|
Zugang zu Anmeldeinformationen |
Anmeldeinformationen aus Kennwortspeichern: Anmeldeinformationen aus Webbrowsern |
Betreiber von Ballistic Bobcat nutzen Open-Source-Tools, um Zugangsdaten aus Passwortspeichern in Webbrowsern zu stehlen. |
|
|
Angewandte F&E |
Remote-Systemerkennung |
Ballistic Bobcat verwendet das Host2IP-Tool, das zuvor von Agrius verwendet wurde, um andere Systeme in erreichbaren Netzwerken zu erkennen und deren Hostnamen und IP-Adressen zu korrelieren. |
|
|
Command and Control |
Datenverschleierung |
Die Sponsor-Hintertür verschleiert Daten, bevor sie sie an den C&C-Server sendet. |
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Automobil / Elektrofahrzeuge, Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- ChartPrime. Verbessern Sie Ihr Handelsspiel mit ChartPrime. Hier zugreifen.
- BlockOffsets. Modernisierung des Eigentums an Umweltkompensationen. Hier zugreifen.
- Quelle: https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/
- :hast
- :Ist
- :nicht
- :Wo
- $UP
- 09
- 1
- 10
- 11
- 12
- 13
- 14
- 15%
- 150
- 16
- 179
- 20
- 2021
- 2022
- 23
- 24
- 25
- 31
- 39
- 51
- 60
- 7
- 8
- 80
- 9
- a
- Fähig
- Über Uns
- oben
- AC
- Zugang
- Nach
- Trading Konten
- aktiv
- Aktivisten
- Aktivität
- präsentieren
- hinzugefügt
- Zusatz
- Zusätzliche
- Adresse
- Adressen
- Administrator
- advanced
- Nach der
- gegen
- Makler
- Auch bekannt als:
- Aufmerksam
- Algorithmus
- Alle
- erlaubt
- entlang
- bereits
- ebenfalls
- immer
- an
- analysiert
- und
- Ein anderer
- jedem
- Bienen
- APIs
- App
- ersichtlich
- erscheinen
- erscheint
- Anwendung
- Anwendungen
- Ansatz
- Apps
- APT
- Araber
- Arabische Emirate
- arabisch
- architektonisch
- SIND
- Argument
- Argumente
- AS
- fragen
- At
- versuchen
- Versuche
- AUGUST
- automatische
- Automobilindustrie
- bewusst
- Zurück
- Hintertür-
- Backdoors
- Hintergrund
- basierend
- austauschbare Akkus
- BE
- wurde
- weil
- war
- Bevor
- Verhalten
- Glauben
- BESTE
- Besser
- zwischen
- Blend
- beide
- Brasil
- Browsern
- erbaut
- aber
- by
- C + +
- namens
- Kampagnen (Campaign)
- Kampagnen
- CAN
- Fähigkeiten
- österreichische Unternehmen
- Häuser
- Center
- Änderungen
- aus der Ferne überprüfen
- Überprüfung
- gewählt
- zivil
- klar
- Code
- codiert
- sammeln
- Kolonne
- COM
- kommerziell
- Kommunikation
- Kommunikation
- Unternehmen
- Unternehmen
- Vergleich
- Kompromiss
- Kompromittiert
- Computer
- Leitung
- Konfiguration
- BESTÄTIGT
- verwirrend
- Sie
- Verbindung
- Kontakt
- enthält
- Inhalt
- weiter
- Smartgeräte App
- Convention
- Genossenschaft
- könnte
- Ländern
- Land
- bedeckt
- Crash
- schafft
- Erstellen
- Referenzen
- Strom
- Original
- Kunde
- Customer Experience
- technische Daten
- Datenbase
- Datenbanken
- Tage
- dc
- Dezember
- Standard
- Defenders
- definiert
- Übergeben
- Lieferanten
- Einsatz
- Bereitstellen
- Einsatz
- beschreiben
- beschrieben
- Design
- entworfen
- Details
- erkannt
- Entdeckung
- Bestimmen
- entschlossen
- Entwickler
- Entwicklung
- Geräte
- Diamond
- entdeckt,
- entdeckt
- Entdeckung
- Verteilung
- verschieden
- die
- Domain
- herunterladen
- fallen gelassen
- Dauer
- im
- e
- jeder
- erleichtern
- Osten
- Bildungswesen
- elektronisch
- Elektronik
- emirates
- beschäftigt
- verschlüsselt
- Verschlüsselung
- engagieren
- beschäftigt
- Entwicklung
- Motor (en)
- Enigma
- Unternehmen
- Entitäten
- Umwelt-
- Fehler
- Fehler
- ESET-Forschung
- offensichtlich
- Untersuchen
- Beispiel
- Austausch-
- ausführen
- ausgeführt
- Führt aus
- Ausführung
- Ausführung
- Ausgänge
- ERFAHRUNGEN
- Ausnutzen
- Exploited
- Nutzung
- Gescheitert
- Scheitern
- ziemlich
- wenige
- Feld
- Felder
- Abbildung
- Reichen Sie das
- Mappen
- Revolution
- Finanzdienstleistungen
- Finanzdienstleistungsunternehmen
- Fest
- Vorname
- Folgende
- Nahrung,
- Aussichten für
- Format
- gefunden
- vier
- für
- voller
- voll
- Funktion
- Funktionen
- Gewinnen
- gesammelt
- erzeugt
- Erzeugung
- Generation
- geographisch
- bekommen
- gegeben
- Global
- Go
- der Regierung
- für Balkonkraftwerke Reduzierung
- groß
- Gruppe an
- Hälfte
- Hash-
- gehasht
- Haben
- Gesundheit
- Krankenversicherung
- Gesundheitswesen
- hier
- Verbergen
- Gastgeber
- aber
- HTML
- http
- HTTPS
- human
- Menschenrechte
- i
- ID
- identifiziert
- identifizieren
- if
- Image
- Verbesserung
- in
- In anderen
- inklusive
- Einschließlich
- zeigen
- zeigt
- Anzeigen
- Information
- Infrastruktur
- Anfangs-
- anfänglich
- Initiiert
- Anfragen
- innerhalb
- Versicherung
- Intelligenz
- Interaktion
- interessant
- innen
- in
- eingeführt
- Investition
- IP
- IP Address
- IP-Adressen
- Israel
- IT
- SEINE
- selbst
- Journalisten
- Aufbewahrung
- Wesentliche
- Tasten
- Wissen
- bekannt
- Mangel
- Nachname
- später
- Recht
- Lagen
- am wenigsten
- Länge
- wahrscheinlich
- Limitiert
- Line
- LINK
- Liste
- Gelistet
- aus einer regionalen
- located
- länger
- suchen
- SIEHT AUS
- Maschinen
- gemacht
- unterhält
- Wartung
- Mehrheit
- Managed
- Herstellung
- viele
- Marktplatz
- Spiel
- Kann..
- MD5
- bedeuten
- Mittel
- Medien
- sowie medizinische
- medizinische Versorgung
- medizinische Forschung
- erwähnt
- Nachricht
- sorgfältig
- Microsoft
- Mitte
- Mittlerer Osten
- könnte
- Geist / Bewusstsein
- Minuten
- Kommt demnächst...
- Modell
- bescheiden
- Änderungen
- ändern
- modulare
- Moments
- Überwachung
- vor allem warme
- multinationalen
- mehrere
- Name
- Namens
- Benennung
- Netzwerk
- Netzwerke
- hört niemals
- Neu
- Neueste
- weiter
- nicht
- Knoten
- Andere
- vor allem
- Roman
- November
- jetzt an
- Anzahl
- Zahlen
- erhalten
- erhalten
- offensichtlich
- of
- Angebote
- vorgenommen,
- on
- An Ort und Stelle
- EINEM
- Einsen
- Online
- einzige
- XNUMXh geöffnet
- Open-Source-
- betreiben
- arbeitet
- Betrieb
- Operator
- Betreiber
- Gelegenheit
- entgegengesetzt
- or
- Auftrag
- Organisation
- organisatorisch
- Organisationen
- Original
- Andere
- UNSERE
- Ausgang
- skizzierte
- Möglichkeiten für das Ausgangssignal:
- übrig
- besitzen
- SPORT
- verpackt
- Seite
- Pandemie
- Teil
- Teile
- Bestanden
- Passwort
- Passwörter
- passt
- Patch
- Schnittmuster
- Beharrlichkeit
- Personal
- Pharma
- physikalisch
- Ebene
- Plato
- Datenintelligenz von Plato
- PlatoData
- Bitte
- Points
- Perspektive
- Punkte
- Teil
- möglich
- Potenzial
- möglicherweise
- Werkzeuge
- Gegenwart
- früher
- vorher
- primär
- privat
- Privilegien
- wahrscheinlich
- Prozessdefinierung
- Verarbeitung
- Produkte
- Programm
- Progression
- geschützt
- Sicherheit
- vorausgesetzt
- Versorger
- bietet
- veröffentlicht
- Ziehen
- geschoben
- R
- zufällig
- Zufällig
- lieber
- Erreichen
- erhalten
- Received
- erhält
- Erholung
- bezeichnet
- in Bezug auf
- Registrieren
- Registratur
- bezogene
- bleiben
- Knorpel zu reparieren,
- WIEDERHOLT
- ersetzen
- ersetzt
- berichten
- Berichtet
- Meldungen
- Darstellung
- Anforderung
- Zugriffe
- erfordern
- erfordert
- Forschungsprojekte
- Forscher
- Folge
- Einzelhändler
- rückgängig machen
- Revisionen
- Rechte
- Lizenzgebühren
- Führen Sie
- Laufen
- gleich
- sah
- Scan
- Scannen
- Sekunden
- sehen
- senden
- Sendung
- sendet
- geschickt
- September
- Fertige Server
- Lösungen
- Dienstleistungsunternehmen
- Sets
- mehrere
- Schale
- erklären
- gezeigt
- Konzerte
- Seite
- Sehenswürdigkeit
- signifikant
- ähnlich
- Einfacher
- am Standort
- Haut
- schlafen
- So
- Software
- Lösungen
- einige
- Quelle
- spezialisiert
- spezialisieren
- angegeben
- Sponsor
- Sponsoring
- Spot
- Stufe
- Standard
- beginnt
- Anfang
- Staaten
- Shritte
- speichern
- gelagert
- Läden
- Streik
- Schnur
- Struktur
- Folge
- Anschließend
- Erfolg
- Erfolgreich
- geliefert
- Lieferant
- Support
- Unterstützung
- System
- Systeme und Techniken
- Tabelle
- Nehmen
- gemacht
- Target
- gezielt
- Targeting
- Ziele
- Technologie
- Telekommunikation
- zehn
- Begriff
- Text
- als
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- die Informationen
- die Welt
- ihr
- dann
- Dort.
- damit
- Diese
- vom Nutzer definierten
- Dritte
- fehlen uns die Worte.
- diejenigen
- Bedrohung
- während
- Zeit
- Timeline
- TM
- zu
- gemeinsam
- Werkzeug
- Werkzeuge
- Gesamt
- verfolgen sind
- Behandlungen
- Versuch
- Tunnel
- WENDE
- XNUMX
- nicht fähig
- Vereinigt
- Vereinigte Arabische
- Vereinte Arabische Emirate
- USA
- bis
- Aktualisierung
- aktualisiert
- Updates
- auf
- URL
- us
- -
- benutzt
- Nutzer
- verwendet
- Verwendung von
- Nutzen
- seit
- Verwendung
- v1
- Wert
- Werte
- Vielfalt
- verschiedene
- Version
- Versionen
- Vertikalen
- Opfer
- Opfer
- Anzeigen
- Besuchen Sie
- Sicherheitslücken
- Verwundbarkeit
- Verwundbar
- wurde
- we
- Netz
- Internetbrowser
- GUT
- waren
- Was
- wann
- während
- ob
- welche
- während
- breit
- Breite
- Fenster
- Fenster
- mit
- .
- ohne
- arbeiten,
- weltweit wie ausgehandelt und gekauft ausgeführt wird.
- Weltgesundheitsorganisation
- würde
- schreiben
- geschrieben
- Jahr
- ja
- Zephyrnet
- Null
