Χορηγός με μουστάκια αρχειοθετημένα σε παρτίδες: Σάρωση του Ballistic Bobcat και χτυπήστε την πίσω πόρτα

Οι ερευνητές της ESET ανακάλυψαν μια καμπάνια βαλλιστικών Bobcat που στοχεύει διάφορες οντότητες στη Βραζιλία, το Ισραήλ και τα Ηνωμένα Αραβικά Εμιράτα, χρησιμοποιώντας μια νέα κερκόπορτα που έχουμε ονομάσει Χορηγός.

Ανακαλύψαμε τον Χορηγό αφού αναλύσαμε ένα ενδιαφέρον δείγμα που εντοπίσαμε στο σύστημα ενός θύματος στο Ισραήλ τον Μάιο του 2022 και εξετάσαμε το εύρος των θυμάτων ανά χώρα. Κατά την εξέταση, μας έγινε φανερό ότι το δείγμα ήταν μια νέα κερκόπορτα που αναπτύχθηκε από την ομάδα Ballistic Bobcat APT.

Ο βαλλιστικός Bobcat, που προηγουμένως παρακολουθήθηκε από την ESET Research ως APT35/APT42 (γνωστός και ως Charming Kitten, TA453, ή PHOSPHORUS), είναι ύποπτος Προηγμένη ομάδα επίμονης απειλής ευθυγραμμισμένη με το Ιράν που απευθύνεται σε οργανισμούς εκπαίδευσης, κυβέρνησης και υγείας, καθώς και ακτιβιστές ανθρωπίνων δικαιωμάτων και δημοσιογράφους. Είναι πιο ενεργό στο Ισραήλ, τη Μέση Ανατολή και τις Ηνωμένες Πολιτείες. Συγκεκριμένα, κατά τη διάρκεια της πανδημίας, στόχευε οργανισμούς που σχετίζονται με τον COVID-19, συμπεριλαμβανομένου του Παγκόσμιου Οργανισμού Υγείας και της Gilead Pharmaceuticals, καθώς και ιατρικό ερευνητικό προσωπικό.

Επικαλύψεις μεταξύ βαλλιστικών εκστρατειών Bobcat Οι εκδόσεις backdoor και Sponsor δείχνουν ένα αρκετά σαφές μοτίβο ανάπτυξης και ανάπτυξης εργαλείων, με στενά στοχευμένες καμπάνιες, καθεμία περιορισμένης διάρκειας. Στη συνέχεια ανακαλύψαμε άλλες τέσσερις εκδόσεις της κερκόπορτας του Sponsor. Συνολικά, είδαμε τον Χορηγό να αναπτύσσεται σε τουλάχιστον 34 θύματα στη Βραζιλία, το Ισραήλ και τα Ηνωμένα Αραβικά Εμιράτα, όπως περιγράφεται στο  REF _Ref143075975 h Εικόνα 1
.

Βασικά σημεία αυτής της ανάρτησης ιστολογίου:

• Ανακαλύψαμε μια νέα κερκόπορτα που αναπτύχθηκε από το Ballistic Bobcat που στη συνέχεια ονομάσαμε Χορηγός.
• Το Ballistic Bobcat ανέπτυξε τη νέα κερκόπορτα τον Σεπτέμβριο του 2021, ενώ ολοκλήρωνε την καμπάνια που τεκμηριώθηκε στο CISA Alert AA21-321A και στην καμπάνια PowerLess.
• Η κερκόπορτα του Χορηγού χρησιμοποιεί αρχεία διαμόρφωσης που είναι αποθηκευμένα στο δίσκο. Αυτά τα αρχεία αναπτύσσονται διακριτικά από αρχεία δέσμης και έχουν σχεδιαστεί εσκεμμένα ώστε να φαίνονται αβλαβή, επιχειρώντας έτσι να αποφύγουν τον εντοπισμό από μηχανές σάρωσης.
• Ο χορηγός αναπτύχθηκε σε τουλάχιστον 34 θύματα στη Βραζιλία, το Ισραήλ και τα Ηνωμένα Αραβικά Εμιράτα. ονομάσαμε αυτή τη δραστηριότητα καμπάνια Πρόσβασης χορηγιών.

Αρχική πρόσβαση

Το Ballistic Bobcat απέκτησε αρχική πρόσβαση εκμεταλλευόμενος γνωστές ευπάθειες σε διακομιστές Microsoft Exchange που εκτίθενται στο Διαδίκτυο πραγματοποιώντας πρώτα σχολαστικές σαρώσεις του συστήματος ή του δικτύου για τον εντοπισμό πιθανών αδυναμιών ή τρωτών σημείων και στη συνέχεια στοχεύοντας και εκμεταλλευόμενοι αυτές τις αδυναμίες που εντοπίστηκαν. Η ομάδα είναι γνωστό ότι έχει αυτή τη συμπεριφορά εδώ και αρκετό καιρό. Ωστόσο, πολλά από τα 34 θύματα που εντοπίστηκαν στην τηλεμετρία ESET θα μπορούσαν καλύτερα να περιγραφούν ως θύματα ευκαιρίας και όχι ως προεπιλεγμένα και ερευνημένα θύματα, καθώς υποψιαζόμαστε ότι το Ballistic Bobcat εμπλέκεται στην παραπάνω περιγραφόμενη συμπεριφορά σάρωσης και εκμετάλλευσης επειδή δεν ήταν η μόνη απειλή φορέας με πρόσβαση σε αυτά τα συστήματα. Ονομάσαμε αυτή τη δραστηριότητα βαλλιστικών Bobcat χρησιμοποιώντας την κερκόπορτα του Χορηγού ως καμπάνια Πρόσβασης χορηγιών.

Η κερκόπορτα του Χορηγού χρησιμοποιεί αρχεία διαμόρφωσης στο δίσκο, που απορρίπτονται από αρχεία δέσμης, και τα δύο είναι αβλαβή ώστε να παρακάμπτονται οι μηχανές σάρωσης. Αυτή η αρθρωτή προσέγγιση είναι αυτή που το Ballistic Bobcat έχει χρησιμοποιήσει αρκετά συχνά και με μέτρια επιτυχία τα τελευταία δυόμισι χρόνια. Σε παραβιασμένα συστήματα, το Ballistic Bobcat συνεχίζει επίσης να χρησιμοποιεί μια ποικιλία εργαλείων ανοιχτού κώδικα, τα οποία περιγράφουμε – μαζί με την κερκόπορτα του Χορηγού – σε αυτό το blogpost.

Victimology

Η σημαντική πλειοψηφία των 34 θυμάτων εντοπίστηκε στο Ισραήλ, με μόνο δύο να βρίσκονται σε άλλες χώρες:

• Βραζιλία, σε ιατρικό συνεταιρισμό και φορέα ασφάλισης υγείας, και
• τα Ηνωμένα Αραβικά Εμιράτα, σε άγνωστη οργάνωση.

 REF _Ref112861418 h Τραπέζι 1
περιγράφει τους κλάδους και τις οργανωτικές λεπτομέρειες για τα θύματα στο Ισραήλ.

Τραπέζι  Πίνακας SEQ * ΑΡΑΒΙΚΑ 1. Κάθετες και οργανωτικές λεπτομέρειες για τα θύματα στο Ισραήλ

Κάθετος	Περιγραφή
Αυτοκίνητο	·       Μια εταιρεία αυτοκινήτων που ειδικεύεται στις προσαρμοσμένες τροποποιήσεις. ·       Εταιρεία επισκευής και συντήρησης αυτοκινήτων.
Διαβιβάσεις	·       Ισραηλινό μέσο ενημέρωσης.
Μηχανική	·       Εταιρία πολιτικού μηχανικού. ·       Εταιρεία περιβαλλοντικής μηχανικής. ·       Μια εταιρεία αρχιτεκτονικού σχεδιασμού.
Χρηματοπιστωτικές υπηρεσίες	·       Μια εταιρεία χρηματοοικονομικών υπηρεσιών που ειδικεύεται στην επενδυτική συμβουλευτική. ·       Μια εταιρεία που διαχειρίζεται δικαιώματα.
Φροντίδα Υγείας	·       Ένας πάροχος ιατρικής περίθαλψης.
Ασφάλιση	·       Μια ασφαλιστική εταιρεία που λειτουργεί ασφαλιστική αγορά. ·       Εμπορική ασφαλιστική εταιρεία.
Νόμος	·       Μια εταιρεία που ειδικεύεται στο ιατρικό δίκαιο.
Βιομηχανίες	·       Πολλαπλές εταιρείες κατασκευής ηλεκτρονικών. ·       Μια εταιρεία που κατασκευάζει εμπορικά προϊόντα με βάση το μέταλλο. ·       Μια πολυεθνική εταιρεία παραγωγής τεχνολογίας.
Λιανεμποριο	·       Έμπορος λιανικής τροφίμων. ·       Πολυεθνικός λιανοπωλητής διαμαντιών. ·       Πωλητής προϊόντων περιποίησης δέρματος. ·       Έμπορος λιανικής και εγκαταστάτης επεξεργασίας παραθύρων. ·       Ένας παγκόσμιος προμηθευτής ηλεκτρονικών ανταλλακτικών. ·       Ένας προμηθευτής ελέγχου φυσικής πρόσβασης.
Τεχνολογία	·       Μια εταιρεία τεχνολογίας υπηρεσιών πληροφορικής. ·       Πάροχος λύσεων πληροφορικής.
Τηλεπικοινωνίες	·       Μια εταιρεία τηλεπικοινωνιών.
Αγνωστος	·       Πολλαπλοί άγνωστοι οργανισμοί.

απόδοση

Τον Αύγουστο του 2021, το Ισραηλινό θύμα πάνω από το οποίο λειτουργεί ασφαλιστική αγορά δέχθηκε επίθεση από το Ballistic Bobcat με τα εργαλεία Η CISA ανέφερε τον Νοέμβριο του 2021. Οι δείκτες συμβιβασμού που παρατηρήσαμε είναι:

• MicrosoftOutlookUpdateSchedule,
• MicrosoftOutlookUpdateSchedule.xml,
• GoogleChangeManagement, να
• GoogleChangeManagement.xml.

Τα εργαλεία βαλλιστικών Bobcat επικοινωνούσαν με τον ίδιο διακομιστή εντολών και ελέγχου (C&C) όπως στην αναφορά CISA: 162.55.137[.]20.

Στη συνέχεια, τον Σεπτέμβριο του 2021, το ίδιο θύμα έλαβε την επόμενη γενιά εργαλείων βαλλιστικών Bobcat: το PowerLess backdoor και το υποστηρικτικό του σύνολο εργαλείων. Οι δείκτες συμβιβασμού που παρατηρήσαμε ήταν:

• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/dll.dll,
• windowsprocesses.exe, να
• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/windowsprocesses.exe.

Τον Νοέμβριο του 18^th, 2021, η ομάδα στη συνέχεια ανέπτυξε ένα άλλο εργαλείο (Πλινκ) που καλύφθηκε στην έκθεση της CISA, όπως MicrosoftOutLookUpdater.exe. Δέκα μέρες μετά, στις 28 Νοεμβρίου^th, 2021, το Ballistic Bobcat ανέπτυξε το Πράκτορας Merlin (το τμήμα πράκτορα ενός Διακομιστής και πράκτορας C&C μετά την εκμετάλλευση ανοιχτού κώδικα γραμμένο στο Go). Στο δίσκο, αυτός ο πράκτορας Merlin ονομάστηκε googleUpdate.exe, χρησιμοποιώντας την ίδια σύμβαση ονομασίας όπως περιγράφεται στην έκθεση CISA για απόκρυψη σε κοινή θέα.

Ο πράκτορας Merlin εκτέλεσε ένα αντίστροφο κέλυφος του Meterpreter που καλούσε πίσω σε έναν νέο διακομιστή C&C, 37.120.222[.]168:80. Στις 12 Δεκεμβρίου^th, 2021, το αντίστροφο κέλυφος έριξε ένα αρχείο δέσμης, install.bat, και μέσα σε λίγα λεπτά από την εκτέλεση του αρχείου δέσμης, οι χειριστές του Ballistic Bobcat έσπρωξαν το νεότερο backdoor τους, το Sponsor. Αυτή θα αποδειχθεί ότι είναι η τρίτη έκδοση του backdoor.

Τεχνική ανάλυση

Αρχική πρόσβαση

Καταφέραμε να εντοπίσουμε ένα πιθανό μέσο αρχικής πρόσβασης για 23 από τα 34 θύματα που παρατηρήσαμε στην τηλεμετρία ESET. Παρόμοια με αυτά που αναφέρθηκαν στο Ανίσχυρος και έλαμψε αναφέρει ότι το Ballistic Bobcat πιθανότατα εκμεταλλεύτηκε μια γνωστή ευπάθεια, CVE-2021-26855, σε διακομιστές Microsoft Exchange για να αποκτήσετε βάση σε αυτά τα συστήματα.

Για 16 από τα 34 θύματα, φαίνεται ότι ο Ballistic Bobcat δεν ήταν ο μόνος παράγοντας απειλής με πρόσβαση στα συστήματά τους. Αυτό μπορεί να υποδηλώνει, μαζί με τη μεγάλη ποικιλία των θυμάτων και την προφανή έλλειψη προφανούς αξίας πληροφοριών για μερικά θύματα, ότι το Ballistic Bobcat εμπλέκεται σε συμπεριφορά σάρωσης και εκμετάλλευσης, σε αντίθεση με μια στοχευμένη εκστρατεία εναντίον προεπιλεγμένων θυμάτων.

Εργαλειοθήκη

Εργαλεία ανοιχτού κώδικα

Το Ballistic Bobcat χρησιμοποίησε μια σειρά από εργαλεία ανοιχτού κώδικα κατά τη διάρκεια της εκστρατείας Sponsoring Access. Αυτά τα εργαλεία και οι λειτουργίες τους παρατίθενται στο  REF _Ref112861458 h Τραπέζι 2
.

Τραπέζι  Πίνακας SEQ * ΑΡΑΒΙΚΑ 2. Εργαλεία ανοιχτού κώδικα που χρησιμοποιούνται από το Ballistic Bobcat

Όνομα	Περιγραφή
host2ip.exe	Χάρτες α όνομα κεντρικού υπολογιστή σε μια διεύθυνση IP εντός του τοπικού δικτύου.
CSRSS.EXE	RevSocks, μια εφαρμογή αντίστροφης σήραγγας.
mi.exe	Mimikatz, με αρχικό όνομα αρχείου από midongle.exe και γεμάτη με το Συσκευαστής PE Armadillo.
gost.exe	GO Simple Tunnel (ΧΩΡΙΣ), μια εφαρμογή τούνελ γραμμένη στο Go.
chisel.exe	Σμίλη, μια σήραγγα TCP/UDP πάνω από HTTP χρησιμοποιώντας επίπεδα SSH.
csrss_protected.exe	RevSocks τούνελ, προστατευμένο με τη δοκιμαστική έκδοση του Προστασία λογισμικού Enigma Protector.
plink.exe	Πλινκ (PuTTY Link), ένα εργαλείο σύνδεσης γραμμής εντολών.
WebBrowserPassView.exe	A εργαλείο ανάκτησης κωδικού πρόσβασης για κωδικούς πρόσβασης που είναι αποθηκευμένοι σε προγράμματα περιήγησης ιστού.
sqlextractor.exe	A εργαλείο για αλληλεπίδραση και εξαγωγή δεδομένων από βάσεις δεδομένων SQL.
procdump64.exe	ProcDump, μια  Βοηθητικό πρόγραμμα γραμμής εντολών Sysinternals για παρακολούθηση εφαρμογών και δημιουργία ενδείξεων σφαλμάτων.

Αρχεία δέσμης

Το Ballistic Bobcat ανέπτυξε αρχεία δέσμης στα συστήματα των θυμάτων λίγες στιγμές πριν αναπτύξει την κερκόπορτα του Sponsor. Οι διαδρομές αρχείων που γνωρίζουμε είναι:

• C:inetpubwwwrootaspnet_clientInstall.bat
• %USERPROFILE%DesktopInstall.bat
• %WINDOWS%TasksInstall.bat

Δυστυχώς, δεν μπορέσαμε να αποκτήσουμε κανένα από αυτά τα ομαδικά αρχεία. Ωστόσο, πιστεύουμε ότι γράφουν αβλαβή αρχεία διαμόρφωσης στο δίσκο, τα οποία απαιτεί η κερκόπορτα του Χορηγού για να λειτουργήσει πλήρως. Αυτά τα ονόματα αρχείων ρυθμίσεων λήφθηκαν από τα backdoors του Χορηγού αλλά δεν συλλέχθηκαν ποτέ:

• config. txt
• node.txt
• error.txt
• Uninstall.bat

Πιστεύουμε ότι τα αρχεία δέσμης και τα αρχεία διαμόρφωσης αποτελούν μέρος της διαδικασίας σπονδυλωτής ανάπτυξης που η Ballistic Bobcat έχει ευνοήσει τα τελευταία χρόνια.

Χορηγός backdoor

Τα backdoors χορηγών είναι γραμμένα σε C++ με χρονικές σημάνσεις μεταγλώττισης και διαδρομές Βάσης Δεδομένων Προγράμματος (PDB) όπως φαίνεται στο  REF _Ref112861527 h Τραπέζι 3
. Σημείωση για τους αριθμούς έκδοσης: η στήλη Εκδοχή αντιπροσωπεύει την έκδοση που παρακολουθούμε εσωτερικά με βάση τη γραμμική εξέλιξη των κερκόπορτων χορηγών όπου γίνονται αλλαγές από τη μια έκδοση στην άλλη. ο Εσωτερική έκδοση Η στήλη περιέχει τους αριθμούς έκδοσης που παρατηρούνται σε κάθε κερκόπορτα Χορηγού και περιλαμβάνονται για ευκολία σύγκρισης κατά την εξέταση αυτών και άλλων πιθανών δειγμάτων χορηγού.

Τραπέζι 3. Χρονικές σημάνσεις και PDB συλλογής χορηγών

Εκδοχή	Εσωτερική έκδοση	Χρονική σήμανση συλλογής	ΠΠ
1	1.0.0	2021-08-29 09:12:51	D:TempBD_Plus_SrvcReleaseBD_Plus_Srvc.pdb
2	1.0.0	2021-10-09 12:39:15	D:TempSponsorReleaseSponsor.pdb
3	1.4.0	2021-11-24 11:51:55	D:TempSponsorReleaseSponsor.pdb
4	2.1.1	2022-02-19 13:12:07	D:TempSponsorReleaseSponsor.pdb
5	1.2.3.0	2022-06-19 14:14:13	D:TempAluminaReleaseAlumina.pdb

Η αρχική εκτέλεση του Sponsor απαιτεί το όρισμα χρόνου εκτέλεσης εγκαθιστώ, χωρίς την οποία ο Χορηγός αποχωρεί χαριτωμένα, πιθανότατα μια απλή τεχνική κατά της εξομοίωσης/κατά του sandbox. Εάν περάσει αυτό το όρισμα, ο Χορηγός δημιουργεί μια υπηρεσία που ονομάζεται SystemNetwork (σε v1) Και Ενημέρωση (σε όλες τις άλλες εκδόσεις). Ρυθμίζει τις υπηρεσίες Τύπος εκκίνησης προς την Αυτόματο, και του ορίζει να εκτελεί τη δική του διαδικασία Χορηγού και του εκχωρεί πλήρη πρόσβαση. Στη συνέχεια ξεκινά την υπηρεσία.

Ο χορηγός, που τώρα εκτελείται ως υπηρεσία, επιχειρεί να ανοίξει τα προαναφερθέντα αρχεία διαμόρφωσης που είχαν τοποθετηθεί προηγουμένως στο δίσκο. Ψάχνει για config. txt και node.txt, τόσο στον τρέχοντα κατάλογο εργασίας. Εάν το πρώτο λείπει, ο Χορηγός ορίζει την υπηρεσία σε Διακόπηκε και βγαίνει με χάρη.

Διαμόρφωση backdoor

Διαμόρφωση χορηγού, αποθηκευμένη σε config. txt, περιέχει δύο πεδία:

• Ένα διάστημα ενημέρωσης, σε δευτερόλεπτα, για να επικοινωνείτε περιοδικά με τον διακομιστή C&C για εντολές.
• Μια λίστα διακομιστών C&C, που αναφέρεται ως ρελέ στα δυαδικά αρχεία του Χορηγού.

Οι διακομιστές C&C αποθηκεύονται κρυπτογραφημένοι (RC4) και το κλειδί αποκρυπτογράφησης υπάρχει στην πρώτη γραμμή του config. txt. Κάθε ένα από τα πεδία, συμπεριλαμβανομένου του κλειδιού αποκρυπτογράφησης, έχει τη μορφή που εμφανίζεται  REF _Ref142647636 h Εικόνα 3
.

Αυτά τα υποπεδία είναι:

• config_start: δείχνει το μήκος του config_name, εάν υπάρχει, ή μηδέν, εάν όχι. Χρησιμοποιείται από την πίσω πόρτα για να γνωρίζει πού config_data ξεκινά.
• config_len: μήκος του config_data.
• config_name: προαιρετικό, περιέχει ένα όνομα που δίνεται στο πεδίο διαμόρφωσης.
• config_data: η ίδια η διαμόρφωση, κρυπτογραφημένη (στην περίπτωση διακομιστών C&C) ή όχι (όλα τα άλλα πεδία).

 REF _Ref142648473 h Εικόνα 4
δείχνει ένα παράδειγμα με χρωματικά κωδικοποιημένα περιεχόμενα μιας πιθανής config. txt αρχείο. Σημειώστε ότι αυτό δεν είναι ένα πραγματικό αρχείο που παρατηρήσαμε, αλλά ένα κατασκευασμένο παράδειγμα.

Τα δύο τελευταία πεδία σε config. txt κρυπτογραφούνται με RC4, χρησιμοποιώντας την αναπαράσταση συμβολοσειράς του κατακερματισμού SHA-256 του καθορισμένου κλειδιού αποκρυπτογράφησης, ως κλειδί για την κρυπτογράφηση των δεδομένων. Βλέπουμε ότι τα κρυπτογραφημένα byte αποθηκεύονται με εξαγωνική κωδικοποίηση ως κείμενο ASCII.

Συλλογή πληροφοριών υποδοχής

Ο χορηγός συλλέγει πληροφορίες σχετικά με τον κεντρικό υπολογιστή στον οποίο εκτελείται, αναφέρει όλες τις συλλεγμένες πληροφορίες στον διακομιστή C&C και λαμβάνει ένα αναγνωριστικό κόμβου, το οποίο είναι γραμμένο στο node.txt.  REF _Ref142653641 h Τραπέζι 4
REF _Ref112861575 h
 παραθέτει κλειδιά και τιμές στο μητρώο των Windows που χρησιμοποιεί ο Χορηγός για να λάβει τις πληροφορίες και παρέχει ένα παράδειγμα των δεδομένων που συλλέγονται.

Πίνακας 4. Πληροφορίες που συγκεντρώθηκαν από τον Χορηγό

Κλειδί μητρώου	αξία	Παράδειγμα
HKEY_LOCAL_MACHINESYSTEMCcurrentControlSetServicesTcpipParameters	Όνομα κεντρικού υπολογιστή	D-835MK12
HKEY_LOCAL_MACHINESYSTEMCcurrentControlSetControlTimeZoneInformation	TimeZoneKeyName	Τυπική ώρα Ισραήλ
HKEY_USERS.DEFAULTCΠίνακας Ελέγχου Διεθνής	Τοπικό όνομα	he-IL
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSσύστημαBIOS	BaseBoardProduct	10NX0010IL
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessor	ProcessorNameString	CPU Intel(R) Core(TM) i7-8565U @ 1.80GHz
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion	Ονομα προϊόντος	Windows 10 EnterpriseN
	CurrentVersion	6.3
	CurrentBuildNumber	19044
	Τύπος εγκατάστασης	Πελάτης

Ο χορηγός συλλέγει επίσης τον τομέα Windows του κεντρικού υπολογιστή χρησιμοποιώντας τα ακόλουθα WMIC εντολή:

wmic computersystem get domain

Τέλος, ο Χορηγός χρησιμοποιεί τα API των Windows για τη συλλογή του τρέχοντος ονόματος χρήστη (GetUserNameW), καθορίστε εάν η τρέχουσα διαδικασία Sponsor εκτελείται ως εφαρμογή 32 ή 64 bit (GetCurrentProcess, Τότε IsWow64Process (ΤρέχουσαΔιαδικασία)), και καθορίζει εάν το σύστημα λειτουργεί με μπαταρία ή είναι συνδεδεμένο σε πηγή τροφοδοσίας AC ή DC (GetSystemPowerStatus).

Ένα παράξενο σχετικά με τον έλεγχο εφαρμογής 32 ή 64 bit είναι ότι όλα τα δείγματα του Sponsor που παρατηρήθηκαν ήταν 32 bit. Αυτό θα μπορούσε να σημαίνει ότι ορισμένα από τα εργαλεία του επόμενου σταδίου απαιτούν αυτές τις πληροφορίες.

Οι πληροφορίες που συλλέγονται αποστέλλονται σε ένα μήνυμα με κωδικοποίηση base64 που, πριν από την κωδικοποίηση, ξεκινά με r και έχει τη μορφή που φαίνεται στο  REF _Ref142655224 h Εικόνα 5
.

Οι πληροφορίες κρυπτογραφούνται με RC4 και το κλειδί κρυπτογράφησης είναι ένας τυχαίος αριθμός που δημιουργείται επί τόπου. Το κλειδί κατακερματίζεται με τον αλγόριθμο MD5, όχι με το SHA-256 όπως αναφέρθηκε προηγουμένως. Αυτό ισχύει για όλες τις επικοινωνίες όπου ο Χορηγός πρέπει να στείλει κρυπτογραφημένα δεδομένα.

Ο διακομιστής C&C απαντά με έναν αριθμό που χρησιμοποιείται για την αναγνώριση του θύματος υπολογιστή σε μεταγενέστερες επικοινωνίες, στον οποίο γίνεται εγγραφή node.txt. Σημειώστε ότι ο διακομιστής C&C επιλέγεται τυχαία από τη λίστα όταν το r αποστέλλεται μήνυμα και ο ίδιος διακομιστής χρησιμοποιείται σε όλες τις επόμενες επικοινωνίες.

Βρόχος επεξεργασίας εντολών

Ο χορηγός ζητά εντολές σε βρόχο, σε κατάσταση αναστολής λειτουργίας σύμφωνα με το διάστημα που ορίζεται στο config. txt. Τα βήματα είναι:

1. Στείλτε a chk=Δοκιμή μήνυμα επανειλημμένα, μέχρι να απαντήσει ο διακομιστής C&C Ok.
2. Στείλτε a c (IS_CMD_AVAIL) μήνυμα στον διακομιστή C&C και λάβετε μια εντολή χειριστή.
3. Επεξεργαστείτε την εντολή.
   • Εάν υπάρχει έξοδος προς αποστολή στον διακομιστή C&C, στείλτε ένα a (ACK) μήνυμα, συμπεριλαμβανομένης της εξόδου (κρυπτογραφημένο) ή
   • Εάν η εκτέλεση απέτυχε, στείλτε ένα f (ΑΠΕΤΥΧΕ) μήνυμα. Το μήνυμα σφάλματος δεν αποστέλλεται.
4. Κοιμηθείτε.

Η c αποστέλλεται μήνυμα για να ζητηθεί μια εντολή για εκτέλεση και έχει τη μορφή (πριν από την κωδικοποίηση του base64) που φαίνεται στο  REF _Ref142658017 h Εικόνα 6
.

Η encrypted_none Το πεδίο στο σχήμα είναι το αποτέλεσμα της κρυπτογράφησης της συμβολοσειράς με σκληρό κώδικα Ν/Α με RC4. Το κλειδί για την κρυπτογράφηση είναι ο κατακερματισμός του MD5 node_id.

Η διεύθυνση URL που χρησιμοποιείται για την επικοινωνία με τον διακομιστή C&C είναι κατασκευασμένη ως εξής: http://<IP_or_domain>:80. Αυτό μπορεί να υποδηλώνει ότι 37.120.222[.]168:80 είναι ο μόνος διακομιστής C&C που χρησιμοποιήθηκε σε όλη την καμπάνια Sponsoring Access, καθώς ήταν η μόνη διεύθυνση IP που παρατηρήσαμε μηχανήματα-θύματα να προσεγγίζουν τη θύρα 80.

Εντολές χειριστή

Οι εντολές χειριστή οριοθετούνται στο  REF _Ref112861551 h Τραπέζι 5
και εμφανίζονται με τη σειρά με την οποία βρίσκονται στον κώδικα. Η επικοινωνία με τον διακομιστή C&C πραγματοποιείται μέσω της θύρας 80.

Πίνακας 5. Εντολές και περιγραφές χειριστή

εντολή	Περιγραφή
p	Στέλνει το αναγνωριστικό διαδικασίας για την εκτελούμενη διαδικασία Χορηγού.
e	Εκτελεί μια εντολή, όπως καθορίζεται σε ένα επόμενο πρόσθετο όρισμα, στον κεντρικό υπολογιστή Sponsor χρησιμοποιώντας την ακόλουθη συμβολοσειρά: c:windowssystem32cmd.exe /c    > result.txt 2>&1 Τα αποτελέσματα αποθηκεύονται σε result.txt στον τρέχοντα κατάλογο εργασίας. Στέλνει ένα a μήνυμα με την κρυπτογραφημένη έξοδο στον διακομιστή C&C εάν εκτελεστεί επιτυχώς. Εάν αποτύχει, στέλνει ένα f μήνυμα (χωρίς να προσδιορίσετε το σφάλμα).
d	Λαμβάνει ένα αρχείο από τον διακομιστή C&C και το εκτελεί. Αυτή η εντολή έχει πολλά επιχειρήματα: το όνομα αρχείου προορισμού στο οποίο θα εγγραφεί το αρχείο, ο κατακερματισμός MD5 του αρχείου, ένας κατάλογος στον οποίο θα εγγραφεί το αρχείο (ή ο τρέχων κατάλογος εργασίας, από προεπιλογή), ένα Boolean για να υποδείξει εάν θα εκτελεστεί το αρχείο ή όχι, και τα περιεχόμενα του εκτελέσιμου αρχείου, κωδικοποιημένα με base64. Εάν δεν προκύψουν σφάλματα, α a το μήνυμα αποστέλλεται στον διακομιστή C&C με Μεταφόρτωση και εκτέλεση αρχείου με επιτυχία or Μεταφόρτωση αρχείου με επιτυχία χωρίς εκτέλεση (κρυπτογραφημένο). Εάν παρουσιαστούν σφάλματα κατά την εκτέλεση του αρχείου, α f αποστέλλεται μήνυμα. Εάν ο κατακερματισμός MD5 των περιεχομένων του αρχείου δεν ταιριάζει με τον παρεχόμενο κατακερματισμό, an e (CRC_ERROR) το μήνυμα αποστέλλεται στον διακομιστή C&C (συμπεριλαμβανομένου μόνο του κλειδιού κρυπτογράφησης που χρησιμοποιείται και καμία άλλη πληροφορία). Η χρήση του όρου Μεταφόρτωση εδώ είναι δυνητικά μπερδεμένο καθώς οι χειριστές και οι κωδικοποιητές του Ballistic Bobcat λαμβάνουν την άποψη από την πλευρά του διακομιστή, ενώ πολλοί μπορεί να το δουν ως λήψη που βασίζεται στο τράβηγμα του αρχείου (δηλαδή τη λήψη του) από το σύστημα χρησιμοποιώντας την κερκόπορτα του Χορηγού.
u	Προσπάθειες λήψης αρχείου χρησιμοποιώντας το URLDownloadFileW Windows API και εκτελέστε το. Η επιτυχία στέλνει ένα a μήνυμα με το κλειδί κρυπτογράφησης που χρησιμοποιείται και καμία άλλη πληροφορία. Η αποτυχία στέλνει ένα f μήνυμα με παρόμοια δομή.
s	Εκτελεί ένα αρχείο που βρίσκεται ήδη στο δίσκο, Uninstall.bat στον τρέχοντα κατάλογο εργασίας, που πιθανότατα περιέχει εντολές για τη διαγραφή αρχείων που σχετίζονται με την κερκόπορτα.
n	Αυτή η εντολή μπορεί να παρέχεται ρητά από έναν χειριστή ή μπορεί να συναχθεί από τον Χορηγό ως η εντολή που πρέπει να εκτελεστεί απουσία οποιασδήποτε άλλης εντολής. Αναφέρεται εντός του Χορηγού ως NO_CMD, εκτελεί μια τυχαία αναστολή λειτουργίας πριν από την επανέλεγχο με τον διακομιστή C&C.
b	Ενημερώνει τη λίστα των C&C που είναι αποθηκευμένα σε config. txt στον τρέχοντα κατάλογο εργασίας. Οι νέες διευθύνσεις C&C αντικαθιστούν τις προηγούμενες. δεν προστίθενται στη λίστα. Στέλνει ένα a μήνυμα με Τα νέα ρελέ αντικαταστάθηκαν με επιτυχία (κρυπτογραφημένο) στον διακομιστή C&C, εάν ενημερωθεί επιτυχώς.
i	Ενημερώνει το προκαθορισμένο διάστημα check-in που καθορίζεται στο config. txt. Στέλνει ένα a μήνυμα με Το νέο διάστημα αντικαταστάθηκε με επιτυχία στον διακομιστή C&C, εάν ενημερωθεί επιτυχώς.

Ενημερώσεις για τον Χορηγό

Οι βαλλιστικοί κωδικοποιητές Bobcat έκαναν αναθεωρήσεις κώδικα μεταξύ Sponsor v1 και v2. Οι δύο πιο σημαντικές αλλαγές στο τελευταίο είναι:

• Βελτιστοποίηση κώδικα όπου αρκετές μεγαλύτερες συναρτήσεις ελαχιστοποιήθηκαν σε συναρτήσεις και υποσυναρτήσεις και
• Συγκάλυψη του Χορηγού ως πρόγραμμα ενημέρωσης συμπεριλαμβάνοντας το ακόλουθο μήνυμα στη διαμόρφωση της υπηρεσίας:

Οι ενημερώσεις εφαρμογών είναι εξαιρετικές τόσο για χρήστες εφαρμογών όσο και για εφαρμογές – οι ενημερώσεις σημαίνουν ότι οι προγραμματιστές εργάζονται πάντα για τη βελτίωση της εφαρμογής, έχοντας κατά νου μια καλύτερη εμπειρία πελάτη με κάθε ενημέρωση.

Υποδομή δικτύου

Εκτός από το piggybacking στην υποδομή C&C που χρησιμοποιείται στην καμπάνια PowerLess, η Ballistic Bobcat παρουσίασε επίσης έναν νέο διακομιστή C&C. Η ομάδα χρησιμοποίησε επίσης πολλαπλές διευθύνσεις IP για την αποθήκευση και την παράδοση εργαλείων υποστήριξης κατά τη διάρκεια της καμπάνιας Πρόσβασης χορηγιών. Έχουμε επιβεβαιώσει ότι καμία από αυτές τις IP δεν είναι σε λειτουργία αυτήν τη στιγμή.

Συμπέρασμα

Το Ballistic Bobcat συνεχίζει να λειτουργεί σε ένα μοντέλο σάρωσης και εκμετάλλευσης, αναζητώντας στόχους ευκαιριών με μη επιδιορθωμένα τρωτά σημεία σε διακομιστές Microsoft Exchange που εκτίθενται στο διαδίκτυο. Η ομάδα συνεχίζει να χρησιμοποιεί ένα ποικίλο σύνολο εργαλείων ανοιχτού κώδικα που συμπληρώνεται με πολλές προσαρμοσμένες εφαρμογές, συμπεριλαμβανομένης της κερκόπορτας του Χορηγού. Συνιστάται στους υπερασπιστές να επιδιορθώνουν τυχόν συσκευές που εκτίθενται στο διαδίκτυο και να παραμείνουν σε επαγρύπνηση για νέες εφαρμογές που εμφανίζονται στους οργανισμούς τους.

Για οποιαδήποτε απορία σχετικά με την έρευνά μας που δημοσιεύτηκε στο WeLiveSecurity, επικοινωνήστε μαζί μας στο απειλητικό@eset.com.
Η ESET Research προσφέρει ιδιωτικές αναφορές πληροφοριών APT και ροές δεδομένων. Για οποιαδήποτε απορία σχετικά με αυτήν την υπηρεσία, επισκεφθείτε τη διεύθυνση ESET Threat Intelligence .

IoC

Αρχεία

SHA-1	Όνομα	Ανίχνευση	Περιγραφή
098B9A6CE722311553E1D8AC5849BA1DC5834C52	N / A	Win32/Agent.UXG	Ballistic Bobcat backdoor, Χορηγός (v1).
5AEE3C957056A8640041ABC108D0B8A3D7A02EBD	N / A	Win32/Agent.UXG	Ballistic Bobcat backdoor, Χορηγός (v2).
764EB6CA3752576C182FC19CFF3E86C38DD51475	N / A	Win32/Agent.UXG	Ballistic Bobcat backdoor, Χορηγός (v3).
2F3EDA9D788A35F4C467B63860E73C3B010529CC	N / A	Win32/Agent.UXG	Ballistic Bobcat backdoor, Χορηγός (v4).
E443DC53284537513C00818392E569C79328F56F	N / A	Win32/Agent.UXG	Ballistic Bobcat backdoor, Χορηγός (v5, γνωστός και ως Alumina).
C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61	N / A	WinGo/Agent.BT	Αντίστροφη σήραγγα RevSocks.
39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6	N / A	καθαρός	ProcDump, ένα βοηθητικό πρόγραμμα γραμμής εντολών για την παρακολούθηση εφαρμογών και τη δημιουργία ενδείξεων σφαλμάτων.
A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A	N / A	Generik.EYWYQYF	Μιμικάτζ.
5D60C8507AC9B840A13FFDF19E3315A3E14DE66A	N / A	WinGo/Riskware.Gost.D	GO Simple Tunnel (GOST).
50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617	N / A	WinGo/HackTool.Chisel.A	Αντίστροφη σήραγγα σμίλης.
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252	N / A	N / A	Host2IP εργαλείο ανακάλυψης.
519CA93366F1B1D71052C6CE140F5C80CE885181	N / A	Win64/Packed.Enigma.BV	Τούνελ RevSocks, προστατευμένο με τη δοκιμαστική έκδοση του λογισμικού προστασίας Enigma Protector.
4709827C7A95012AB970BF651ED5183083366C79	N / A	N / A	Plink (PuTTY Link), ένα εργαλείο σύνδεσης γραμμής εντολών.
99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8	N / A	Win32/PSWTool.WebBrowserPassView.I	Ένα εργαλείο ανάκτησης κωδικού πρόσβασης για κωδικούς πρόσβασης που είναι αποθηκευμένοι σε προγράμματα περιήγησης ιστού.
E52AA118A59502790A4DD6625854BD93C0DEAF27	N / A	MSIL/HackTool.SQLDump.A	Ένα εργαλείο για την αλληλεπίδραση και την εξαγωγή δεδομένων από βάσεις δεδομένων SQL.

 

Διαδρομές αρχείων

Ακολουθεί μια λίστα διαδρομών όπου η κερκόπορτα του Χορηγού αναπτύχθηκε σε μηχανήματα θυματοποιημένα.

%SYSTEMDRIVE%inetpubwwwrootaspnet_client

%USERPROFILE%AppDataLocalTempfile

%USERPROFILE%AppDataLocalTemp2low

%USERPROFILE%Desktop

%USERPROFILE%Λήψηsa

%WINDIR%

%WINDIR%INFMSEΑνταλλαγή DSN

%WINDIR%Tasks

%WINDIR%Temp%WINDIR%Tempcrashpad1Files

Δίκτυο

IP	Provider	Πρωτοεμφανίστηκε	Τελευταία δει	Περιγραφή
162.55.137[.]20	Hetzner Online GMBH	2021-06-14	2021-06-15	PowerLess C&C.
37.120.222[.]168	Μ247 Ε.Π.Ε	2021-11-28	2021-12-12	Χορηγός C&C.
198.144.189[.]74	Colocrossing	2021-11-29	2021-11-29	Ιστότοπος λήψης εργαλείων υποστήριξης.
5.255.97[.]172	Η Infrastructure Group BV	2021-09-05	2021-10-28	Ιστότοπος λήψης εργαλείων υποστήριξης.

Αυτός ο πίνακας κατασκευάστηκε χρησιμοποιώντας έκδοση 13 του πλαισίου MITER ATT & CK.

Τακτική	ID	Όνομα	Περιγραφή
Αναγνώριση	T1595	Ενεργή σάρωση: Σάρωση ευπάθειας	Το Ballistic Bobcat σαρώνει για ευάλωτες εκδόσεις των διακομιστών Microsoft Exchange προς εκμετάλλευση.
Ανάπτυξη πόρων	T1587.001	Ανάπτυξη δυνατοτήτων: Κακόβουλο λογισμικό	Το Ballistic Bobcat σχεδίασε και κωδικοποίησε την κερκόπορτα του Sponsor.
	T1588.002	Αποκτήστε δυνατότητες: Εργαλείο	Το Ballistic Bobcat χρησιμοποιεί διάφορα εργαλεία ανοιχτού κώδικα ως μέρος της καμπάνιας Sponsoring Access.
Αρχική πρόσβαση	T1190	Εκμεταλλευτείτε την εφαρμογή δημόσιου προσανατολισμού	Το Ballistic Bobcat στοχεύει εκτεθειμένα στο διαδίκτυο  Διακομιστές Microsoft Exchange.
Εκτέλεση	T1059.003	Διερμηνέας εντολών και δέσμης ενεργειών: Windows Command Shell	Η κερκόπορτα του Χορηγού χρησιμοποιεί το κέλυφος εντολών των Windows για την εκτέλεση εντολών στο σύστημα του θύματος.
	T1569.002	Υπηρεσίες συστήματος: Εκτέλεση υπηρεσίας	Η κερκόπορτα του Χορηγού ορίζεται ως υπηρεσία και ξεκινά τις κύριες λειτουργίες του μετά την εκτέλεση της υπηρεσίας.
Επιμονή	T1543.003	Δημιουργία ή τροποποίηση διαδικασίας συστήματος: Υπηρεσία Windows	Ο χορηγός διατηρεί την επιμονή δημιουργώντας μια υπηρεσία με αυτόματη εκκίνηση που εκτελεί τις κύριες λειτουργίες του σε βρόχο.
Κλιμάκωση προνομίων	T1078.003	Έγκυροι λογαριασμοί: Τοπικοί λογαριασμοί	Οι χειριστές βαλλιστικών Bobcat προσπαθούν να κλέψουν τα διαπιστευτήρια έγκυρων χρηστών αφού πρώτα εκμεταλλευτούν ένα σύστημα πριν αναπτύξουν την κερκόπορτα του Χορηγού.
Αμυντική υπεκφυγή	T1140	Αποσυμφόρηση/Αποκωδικοποίηση αρχείων ή πληροφοριών	Ο Χορηγός αποθηκεύει πληροφορίες στο δίσκο που είναι κρυπτογραφημένες και ασαφείς και τις αποσυμφορεί κατά τη διάρκεια εκτέλεσης.
	T1027	Ασαφή αρχεία ή πληροφορίες	Τα αρχεία διαμόρφωσης που απαιτεί η κερκόπορτα του Χορηγού στο δίσκο είναι κρυπτογραφημένα και ασαφή.
	T1078.003	Έγκυροι λογαριασμοί: Τοπικοί λογαριασμοί	Ο χορηγός εκτελείται με δικαιώματα διαχειριστή, πιθανότατα χρησιμοποιώντας διαπιστευτήρια που βρήκαν οι χειριστές στο δίσκο. μαζί με τις αβλαβείς συμβάσεις ονομασίας του Ballistic Bobcat, αυτό επιτρέπει στον Χορηγό να αναμειχθεί στο παρασκήνιο.
Πρόσβαση διαπιστευτηρίων	T1555.003	Διαπιστευτήρια από καταστήματα κωδικών πρόσβασης: Διαπιστευτήρια από προγράμματα περιήγησης Ιστού	Οι χειριστές βαλλιστικών Bobcat χρησιμοποιούν εργαλεία ανοιχτού κώδικα για να κλέψουν διαπιστευτήρια από καταστήματα κωδικών πρόσβασης μέσα σε προγράμματα περιήγησης ιστού.
Ανακάλυψη	T1018	Απομακρυσμένη ανακάλυψη συστήματος	Το Ballistic Bobcat χρησιμοποιεί το εργαλείο Host2IP, το οποίο χρησιμοποιούσε στο παρελθόν η Agrius, για να ανακαλύψει άλλα συστήματα μέσα σε προσβάσιμα δίκτυα και να συσχετίσει τα ονόματα κεντρικών υπολογιστών και τις διευθύνσεις IP τους.
Διοίκησης και Ελέγχου	T1001	Συμπίεση δεδομένων	Η κερκόπορτα του Χορηγού θολώνει τα δεδομένα πριν τα στείλει στον διακομιστή C&C.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Αυτοκίνητο / EVs, Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• ChartPrime. Ανεβάστε το Trading Game σας με το ChartPrime. Πρόσβαση εδώ.
• BlockOffsets. Εκσυγχρονισμός της περιβαλλοντικής αντιστάθμισης ιδιοκτησίας. Πρόσβαση εδώ.
• πηγή: https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/