Los investigadores de ESET descubrieron una campaña Ballistic Bobcat dirigida a varias entidades en Brasil, Israel y los Emiratos Árabes Unidos, utilizando una novedosa puerta trasera que hemos denominado Sponsor.
Descubrimos a Sponsor después de analizar una muestra interesante que detectamos en el sistema de una víctima en Israel en mayo de 2022 y analizamos el conjunto de víctimas por país. Tras el examen, nos resultó evidente que la muestra era una puerta trasera novedosa implementada por el grupo Ballistic Bobcat APT.
Ballistic Bobcat, previamente rastreado por ESET Research como APT35/APT42 (también conocido como Charming Kitten, TA453 o PHOSPHORUS), es un sospechoso Grupo de amenaza persistente avanzada alineado con Irán dirigido a organizaciones educativas, gubernamentales y sanitarias, así como a periodistas y activistas de derechos humanos. Es más activo en Israel, Medio Oriente y Estados Unidos. En particular, durante la pandemia, estaba dirigido a organizaciones relacionadas con la COVID-19, incluidas la Organización Mundial de la Salud y Gilead Pharmaceuticals, y al personal de investigación médica.
Superposiciones entre campañas de Ballistic Bobcat y las versiones de puerta trasera del patrocinador muestran un patrón bastante claro de desarrollo e implementación de herramientas, con campañas con objetivos específicos, cada una de ellas de duración limitada. Posteriormente descubrimos otras cuatro versiones de la puerta trasera del Patrocinador. En total, vimos al Patrocinador desplegado para al menos 34 víctimas en Brasil, Israel y los Emiratos Árabes Unidos, como se describe en REF _Ref143075975h Figura 1
.
Puntos clave de esta entrada de blog:
- Descubrimos una nueva puerta trasera implementada por Ballistic Bobcat a la que posteriormente llamamos Patrocinador.
- Ballistic Bobcat implementó la nueva puerta trasera en septiembre de 2021, mientras concluía la campaña documentada en CISA Alert AA21-321A y la campaña PowerLess.
- La puerta trasera del patrocinador utiliza archivos de configuración almacenados en el disco. Estos archivos se implementan discretamente mediante archivos por lotes y se diseñan deliberadamente para parecer inofensivos, intentando así evadir la detección de los motores de escaneo.
- El patrocinador fue enviado a al menos 34 víctimas en Brasil, Israel y los Emiratos Árabes Unidos; A esta actividad la hemos denominado campaña de Acceso de Patrocinio.
Acceso inicial
Ballistic Bobcat obtuvo acceso inicial explotando vulnerabilidades conocidas en servidores Microsoft Exchange expuestos a Internet, realizando primero escaneos meticulosos del sistema o la red para identificar debilidades o vulnerabilidades potenciales y, posteriormente, apuntando y explotando esas debilidades identificadas. Se sabe que el grupo tiene este comportamiento desde hace algún tiempo. Sin embargo, muchas de las 34 víctimas identificadas en la telemetría de ESET podrían describirse mejor como víctimas de oportunidad en lugar de víctimas preseleccionadas e investigadas, ya que sospechamos que Ballistic Bobcat participó en el comportamiento de escaneo y explotación descrito anteriormente porque no era la única amenaza. actor con acceso a estos sistemas. Hemos denominado esta actividad de Ballistic Bobcat que utiliza la puerta trasera del patrocinador Campaña de acceso al patrocinio.
La puerta trasera del patrocinador utiliza archivos de configuración en el disco, eliminados por archivos por lotes, y ambos son inofensivos para eludir los motores de escaneo. Este enfoque modular es uno que Ballistic Bobcat ha utilizado con bastante frecuencia y con éxito modesto en los últimos dos años y medio. En sistemas comprometidos, Ballistic Bobcat también continúa utilizando una variedad de herramientas de código abierto, que describimos (junto con la puerta trasera del patrocinador) en esta publicación de blog.
Victimologia
Una mayoría significativa de las 34 víctimas estaban ubicadas en Israel, y sólo dos estaban ubicadas en otros países:
- Brasil, en una cooperativa médica y operadora de seguros de salud, y
- Emiratos Árabes Unidos, contra una organización no identificada.
REF _Ref112861418h Mesa 1
describe las verticales y los detalles organizativos de las víctimas en Israel.
Mesa Tabla SEQ * ÁRABE 1. Verticales y detalles organizativos para las víctimas en Israel
|
Vertical |
Detalles |
|
Automotriz |
· Una empresa automotriz especializada en modificaciones personalizadas. · Empresa de reparación y mantenimiento de automóviles. |
|
Comunicaciónes |
· Un medio de comunicación israelí. |
|
Ingeniería |
· Una empresa de ingeniería civil. · Una empresa de ingeniería ambiental. · Una firma de diseño arquitectónico. |
|
Servicios financieros |
· Una empresa de servicios financieros que se especializa en asesoramiento de inversiones. · Una empresa que gestiona regalías. |
|
Healthcare |
· Un proveedor de atención médica. |
|
Seguros |
· Una compañía de seguros que opera un mercado de seguros. · Una compañía de seguros comercial. |
|
de derecho criminal |
· Una firma especializada en derecho médico. |
|
Elaboración |
· Múltiples empresas de fabricación de productos electrónicos. · Una empresa que fabrica productos comerciales a base de metal. · Una empresa multinacional de fabricación de tecnología. |
|
Mercado |
· Un minorista de alimentos. · Un minorista multinacional de diamantes. · Minorista de productos para el cuidado de la piel. · Un minorista e instalador de tratamientos de ventanas. · Un proveedor global de piezas electrónicas. · Un proveedor de control de acceso físico. |
|
Tecnología |
· Una empresa de tecnología de servicios TI. · Un proveedor de soluciones TI. |
|
Telecomunicaciones |
· Una empresa de telecomunicaciones. |
|
Persona no identificada |
· Múltiples organizaciones no identificadas. |
Atribución
En agosto de 2021, la víctima israelí mencionada anteriormente que opera un mercado de seguros fue atacada por Ballistic Bobcat con las herramientas CISA informó en noviembre de 2021. Los indicadores de compromiso que observamos son:
- Programación de actualización de Microsoft Outlook,
- MicrosoftOutlookUpdateSchedule.xml,
- Gestión de cambios de Googley
- GoogleChangeManagement.xml.
Las herramientas Ballistic Bobcat se comunicaron con el mismo servidor de comando y control (C&C) que en el informe CISA: 162.55.137[.]20.
Luego, en septiembre de 2021, la misma víctima recibió la próxima generación de herramientas Ballistic Bobcat: la Puerta trasera sin energía y su conjunto de herramientas de soporte. Los indicadores de compromiso que observamos fueron:
- http://162.55.137[.]20/gsdhdDdfgA5sS/ff/dll.dll,
- windowsprocesses.exey
- http://162.55.137[.]20/gsdhdDdfgA5sS/ff/windowsprocesses.exe.
En noviembre 18thde 2021, el grupo implementó otra herramienta (Plink) que fue cubierto en el informe CISA, como MicrosoftOutLookUpdater.exe. Diez días después, el 28 de noviembrethde 2021, Ballistic Bobcat desplegó el agente merlín (la parte del agente de un Servidor y agente C&C post-explotación de código abierto escrito en Go). En el disco, este agente de Merlín se llamaba GoogleUpdate.exe, utilizando la misma convención de nomenclatura que se describe en el informe CISA para ocultarse a simple vista.
El agente Merlin ejecutó un shell inverso de Meterpreter que volvió a llamar a un nuevo servidor C&C. 37.120.222 [.] 168: 80. el 12 de diciembrethde 2021, el shell inverso eliminó un archivo por lotes, install.bat, y a los pocos minutos de ejecutar el archivo por lotes, los operadores de Ballistic Bobcat activaron su nueva puerta trasera, Sponsor. Esta resultaría ser la tercera versión de la puerta trasera.
El análisis técnico
Acceso inicial
Pudimos identificar un medio probable de acceso inicial para 23 de las 34 víctimas que observamos en la telemetría de ESET. Similar a lo reportado en el Impotente y CISA Según informes, Ballistic Bobcat probablemente aprovechó una vulnerabilidad conocida, CVE-2021-26855, en servidores Microsoft Exchange para hacerse un hueco en estos sistemas.
Para 16 de las 34 víctimas, parece que Ballistic Bobcat no fue el único actor de amenazas con acceso a sus sistemas. Esto puede indicar, junto con la amplia variedad de víctimas y la aparente falta de valor de inteligencia obvio de algunas víctimas, que Ballistic Bobcat participó en un comportamiento de escaneo y explotación, en lugar de una campaña dirigida contra víctimas preseleccionadas.
conjunto de herramientas
Herramientas de código abierto
Ballistic Bobcat empleó una serie de herramientas de código abierto durante la campaña Sponsoring Access. Esas herramientas y sus funciones se enumeran en REF _Ref112861458h Mesa 2
.
Mesa Tabla SEQ * ÁRABE 2. Herramientas de código abierto utilizadas por Ballistic Bobcat
|
Nombre del archivo |
Descripción |
host2ip.exe
|
Mapea un nombre de host a una dirección IP dentro de la red local. |
CSRSS.EXE
|
RevSocks, una aplicación de túnel inverso. |
mi.exe
|
Mimikatz, con nombre original de midongle.exe y embalado con el Empaquetadora Armadillo PE. |
gost.exe
|
GO Túnel simple (GOST), una aplicación de tunelización escrita en Go. |
chisel.exe
|
Cincel, un túnel TCP/UDP sobre HTTP usando capas SSH. |
csrss_protected.exe
|
Túnel RevSocks, protegido con la versión de prueba del Protección del software Enigma Protector. |
plink.exe
|
Plink (PuTTY Link), una herramienta de conexión de línea de comandos. |
|
WebBrowserPassView.exe
|
A herramienta de recuperación de contraseña para contraseñas almacenadas en navegadores web.
|
sqlextractor.exe
|
A del IRS para interactuar y extraer datos de bases de datos SQL. |
procdump64.exe
|
ProcDump, Utilidad de línea de comandos Sysinternals para monitorear aplicaciones y generar volcados de memoria. |
Archivos por lotes
Ballistic Bobcat implementó archivos por lotes en los sistemas de las víctimas momentos antes de implementar la puerta trasera del patrocinador. Las rutas de archivos que conocemos son:
- C:inetpubwwwrootaspnet_clientInstall.bat
- %PERFIL DE USUARIO%DesktopInstall.bat
- %WINDOWS%TareasInstall.bat
Lamentablemente, no pudimos obtener ninguno de estos archivos por lotes. Sin embargo, creemos que escriben archivos de configuración inofensivos en el disco, que la puerta trasera del patrocinador requiere para funcionar completamente. Estos nombres de archivos de configuración se tomaron de las puertas traseras del patrocinador, pero nunca se recopilaron:
- txt de configuración
- nodo.txt
- error.txt
- Desinstalar.bat
Creemos que los archivos por lotes y los archivos de configuración son parte del proceso de desarrollo modular que Ballistic Bobcat ha favorecido en los últimos años.
Puerta trasera del patrocinador
Las puertas traseras de los patrocinadores están escritas en C++ con marcas de tiempo de compilación y rutas de la base de datos del programa (PDB), como se muestra en REF _Ref112861527h Mesa 3
. Una nota sobre los números de versión: la columna Versión representa la versión que rastreamos internamente en función de la progresión lineal de las puertas traseras del patrocinador donde se realizan cambios de una versión a la siguiente. El Versión interna La columna contiene los números de versión observados en cada puerta trasera del Patrocinador y se incluyen para facilitar la comparación al examinar estas y otras muestras potenciales del Patrocinador.
Mesa 3. Marcas de tiempo de compilación del patrocinador y PDB
|
Versión |
Versión interna |
Marca de tiempo de compilación |
AP |
|
1 |
1.0.0 |
2021-08-29 09:12:51 |
D:TempBD_Plus_SrvcReleaseBD_Plus_Srvc.pdb |
|
2 |
1.0.0 |
2021-10-09 12:39:15 |
D:TempSponsorReleaseSponsor.pdb |
|
3 |
1.4.0 |
2021-11-24 11:51:55 |
D:TempSponsorReleaseSponsor.pdb |
|
4 |
2.1.1 |
2022-02-19 13:12:07 |
D:TempSponsorReleaseSponsor.pdb |
|
5 |
1.2.3.0 |
2022-06-19 14:14:13 |
D:TempAluminaReleaseAlumina.pdb |
La ejecución inicial de Sponsor requiere el argumento de tiempo de ejecución. instalar, sin el cual el Patrocinador sale elegantemente, probablemente una simple técnica anti-emulación/anti-sandbox. Si se pasa ese argumento, el patrocinador crea un servicio llamado Red del sistema (en v1) y Actualizar (en todas las demás versiones). Establece el servicio Tipo de inicio a Automático, lo configura para ejecutar su propio proceso de Patrocinador y le otorga acceso completo. Luego inicia el servicio.
El patrocinador, que ahora se ejecuta como un servicio, intenta abrir los archivos de configuración antes mencionados previamente colocados en el disco. busca txt de configuración y nodo.txt, ambos en el directorio de trabajo actual. Si falta el primero, el Patrocinador configura el servicio en Detenido y sale con gracia.
Configuración de puerta trasera
Configuración del patrocinador, almacenada en txt de configuración, contiene dos campos:
- Un intervalo de actualización, en segundos, para contactar periódicamente al servidor C&C para obtener comandos.
- Una lista de servidores C&C, denominados relés en los archivos binarios del patrocinador.
Los servidores C&C se almacenan cifrados (RC4) y la clave de descifrado está presente en la primera línea del txt de configuración. Cada uno de los campos, incluida la clave de descifrado, tiene el formato que se muestra en REF _Ref142647636h Figura 3
.
Estos subcampos son:
- inicio_config: indica la longitud de nombre_config, si está presente, o cero, si no. Usado por la puerta trasera para saber dónde datos_config empieza.
- config_len: longitud de datos_config.
- nombre_config: opcional, contiene un nombre dado al campo de configuración.
- datos_config: la configuración en sí, cifrada (en el caso de servidores C&C) o no (todos los demás campos).
REF _Ref142648473h Figura 4
muestra un ejemplo con contenidos codificados por colores de una posible txt de configuración archivo. Tenga en cuenta que este no es un archivo real que observamos, sino un ejemplo fabricado.
Los dos últimos campos en txt de configuración se cifran con RC4, utilizando la representación de cadena del hash SHA-256 de la clave de descifrado especificada, como clave para cifrar los datos. Vemos que los bytes cifrados se almacenan codificados en hexadecimal como texto ASCII.
Recopilación de información del anfitrión
El patrocinador recopila información sobre el host en el que se ejecuta, informa toda la información recopilada al servidor C&C y recibe una ID de nodo, que se escribe en nodo.txt. REF _Ref142653641h Mesa 4
REF _Ref112861575h
enumera claves y valores en el registro de Windows que el patrocinador utiliza para obtener la información y proporciona un ejemplo de los datos recopilados.
Tabla 4. Información recopilada por Patrocinador
|
Clave de registro |
Valor |
Ejemplo |
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
|
Nombre de host
|
D-835MK12
|
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTimeZoneInformation
|
Nombre de clave de zona horaria
|
Hora estándar de Israel
|
HKEY_USERS.DEFAULTPanel de controlInternacional
|
Nombre local
|
he-IL
|
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSistemaBIOS
|
BaseBoardProducto
|
10NX0010IL
|
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSistemaCentralProcesador
|
Cadena de nombre del procesador
|
CPU Intel (R) Core (TM) i7-8565U @ 1.80GHz
|
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion
|
Nombre del producto
|
Windows 10 Enterprise N
|
CurrentVersion
|
6.3
|
|
Número de compilación actual
|
19044
|
|
Tipo de instalación
|
Cliente
|
El patrocinador también recopila el dominio de Windows del anfitrión utilizando lo siguiente WMIC mando:
sistema informático wmic obtiene dominio
Por último, el patrocinador utiliza las API de Windows para recopilar el nombre de usuario actual (Obtener nombre de usuario W), determine si el proceso del Patrocinador actual se está ejecutando como una aplicación de 32 o 64 bits (ObtenerProcesoActual, entonces IsWow64Process (proceso actual)) y determina si el sistema está funcionando con batería o conectado a una fuente de alimentación de CA o CC (Obtener estado de energía del sistema).
Una rareza con respecto a la verificación de aplicaciones de 32 o 64 bits es que todas las muestras observadas de Sponsor eran de 32 bits. Esto podría significar que algunas de las herramientas de la siguiente etapa requieren esta información.
La información recopilada se envía en un mensaje codificado en base64 que, antes de codificar, comienza con r y tiene el formato mostrado en REF _Ref142655224h Figura 5
.
La información se cifra con RC4 y la clave de cifrado es un número aleatorio generado en el acto. La clave está codificada con el algoritmo MD5, no con SHA-256 como se mencionó anteriormente. Este es el caso de todas las comunicaciones en las que el Patrocinador debe enviar datos cifrados.
El servidor C&C responde con un número utilizado para identificar la computadora víctima en comunicaciones posteriores, que está escrito en nodo.txt. Tenga en cuenta que el servidor C&C se elige aleatoriamente de la lista cuando r Se envía el mensaje y se utiliza el mismo servidor en todas las comunicaciones posteriores.
Bucle de procesamiento de comandos
El patrocinador solicita comandos en un bucle, durmiendo según el intervalo definido en txt de configuración. Los pasos son:
- Enviar una chk=Prueba mensaje repetidamente, hasta que el servidor C&C responda Ok.
- Enviar una c (IS_CMD_AVAIL) envía un mensaje al servidor C&C y recibe un comando del operador.
- Procesa el comando.
- Si hay una salida para enviar al servidor C&C, envíe un a (ACK) mensaje, incluida la salida (cifrada), o
- Si la ejecución falla, envíe un f
(FALLADO) mensaje. El mensaje de error no se envía.
- Sueño.
La c El mensaje se envía para solicitar que se ejecute un comando y tiene el formato (antes de la codificación base64) que se muestra en REF _Ref142658017h Figura 6
.
La cifrado_ninguno El campo en la figura es el resultado de cifrar la cadena codificada. Ninguna con RC4. La clave para el cifrado es el hash MD5 de id_nodo.
La URL utilizada para contactar con el servidor C&C se construye como: http://<IP_or_domain>:80. Esto puede indicar que 37.120.222 [.] 168: 80 es el único servidor C&C utilizado durante la campaña de acceso de patrocinio, ya que fue la única dirección IP que observamos que las máquinas víctimas se comunicaban en el puerto 80.
Comandos del operador
Los comandos del operador están delineados en REF _Ref112861551h Mesa 5
y aparecen en el orden en que se encuentran en el código. La comunicación con el servidor C&C se produce a través del puerto 80.
Tabla 5. Comandos y descripciones del operador
|
Comando |
Descripción |
|
p |
Envía el ID del proceso para el proceso del patrocinador en ejecución. |
|
e |
Ejecuta un comando, como se especifica en un argumento adicional posterior, en el host patrocinador utilizando la siguiente cadena: c:windowssystem32cmd.exe/c > resultado.txt 2>&1 Los resultados se almacenan en result.txt en el directorio de trabajo actual. Envía un a mensaje con la salida cifrada al servidor C&C si se ejecuta correctamente. Si falla, envía un f mensaje (sin especificar el error). |
|
d |
Recibe un archivo del servidor C&C y lo ejecuta. Este comando tiene muchos argumentos: el nombre del archivo de destino en el que escribir el archivo, el hash MD5 del archivo, un directorio en el que escribir el archivo (o el directorio de trabajo actual, de forma predeterminada), un valor booleano para indicar si se debe ejecutar el archivo o not, y el contenido del archivo ejecutable, codificado en base64. Si no se producen errores, un a El mensaje se envía al servidor C&C con Cargar y ejecutar el archivo exitosamente or Cargue el archivo correctamente sin ejecutarlo (cifrado). Si se producen errores durante la ejecución del archivo, un f se envía el mensaje. Si el hash MD5 del contenido del archivo no coincide con el hash proporcionado, se e (CRC_ERROR) el mensaje se envía al servidor C&C (incluyendo solo la clave de cifrado utilizada y ninguna otra información). El uso del término Subir Esto es potencialmente confuso ya que los operadores y codificadores de Ballistic Bobcat toman el punto de vista desde el lado del servidor, mientras que muchos podrían ver esto como una descarga basada en la extracción del archivo (es decir, su descarga) por parte del sistema mediante la puerta trasera del patrocinador. |
|
u |
Intenta descargar un archivo utilizando el URLDescargarArchivoW API de Windows y ejecútela. El éxito envía un a mensaje con la clave de cifrado utilizada y ninguna otra información. El fracaso envía un f mensaje con una estructura similar. |
|
s |
Ejecuta un archivo que ya está en el disco, Desinstalar.bat en el directorio de trabajo actual, que probablemente contenga comandos para eliminar archivos relacionados con la puerta trasera. |
|
n |
Este comando puede ser proporcionado explícitamente por un operador o puede ser inferido por el Patrocinador como el comando a ejecutar en ausencia de cualquier otro comando. Denominado dentro del Patrocinador como NO_CMD, ejecuta una suspensión aleatoria antes de volver a conectarse con el servidor C&C. |
|
b |
Actualiza la lista de C&C almacenados en txt de configuración en el directorio de trabajo actual. Las nuevas direcciones C&C reemplazan a las anteriores; no se agregan a la lista. Envía un a mensaje con |
|
i |
Actualiza el intervalo de check-in predeterminado especificado en txt de configuración. Envía un a mensaje con Nuevo intervalo reemplazado exitosamente al servidor C&C si se actualiza correctamente. |
Actualizaciones para patrocinar
Los codificadores de Ballistic Bobcat realizaron revisiones de código entre el patrocinador v1 y v2. Los dos cambios más significativos en este último son:
- Optimización del código donde varias funciones más largas se minimizaron en funciones y subfunciones, y
- Disfrazar al Patrocinador como un programa de actualización incluyendo el siguiente mensaje en la configuración del servicio:
Las actualizaciones de aplicaciones son excelentes tanto para los usuarios como para las aplicaciones: las actualizaciones significan que los desarrolladores siempre están trabajando para mejorar la aplicación, teniendo en cuenta una mejor experiencia para el cliente con cada actualización.
Infraestructura de red
Además de aprovechar la infraestructura de C&C utilizada en la campaña PowerLess, Ballistic Bobcat también presentó un nuevo servidor de C&C. El grupo también utilizó múltiples IP para almacenar y entregar herramientas de soporte durante la campaña de Acceso de Patrocinio. Hemos confirmado que ninguna de estas IP está operativa en este momento.
Conclusión
Ballistic Bobcat continúa operando en un modelo de escaneo y explotación, buscando objetivos de oportunidad con vulnerabilidades sin parches en servidores Microsoft Exchange expuestos a Internet. El grupo continúa utilizando un conjunto diverso de herramientas de código abierto complementado con varias aplicaciones personalizadas, incluida su puerta trasera Sponsor. Los defensores harían bien en parchear cualquier dispositivo expuesto a Internet y permanecer atentos a la aparición de nuevas aplicaciones dentro de sus organizaciones.
Para cualquier consulta sobre nuestra investigación publicada en WeLiveSecurity, contáctenos en amenazaintel@eset.com.
ESET Research ofrece fuentes de datos e informes de inteligencia APT privados. Para cualquier consulta sobre este servicio, visite el Inteligencia de amenazas de ESET .
IoC
archivos
|
SHA-1 |
Nombre del archivo |
Detección |
Descripción |
098B9A6CE722311553E1D8AC5849BA1DC5834C52
|
N/A |
Win32/Agente.UXG |
Puerta trasera balística Bobcat, patrocinador (v1). |
5AEE3C957056A8640041ABC108D0B8A3D7A02EBD
|
N/A |
Win32/Agente.UXG |
Puerta trasera balística Bobcat, patrocinador (v2). |
764EB6CA3752576C182FC19CFF3E86C38DD51475
|
N/A |
Win32/Agente.UXG |
Puerta trasera balística Bobcat, patrocinador (v3). |
2F3EDA9D788A35F4C467B63860E73C3B010529CC
|
N/A |
Win32/Agente.UXG |
Puerta trasera balística Bobcat, patrocinador (v4). |
E443DC53284537513C00818392E569C79328F56F
|
N/A |
Win32/Agente.UXG |
Puerta trasera Ballistic Bobcat, patrocinador (v5, también conocido como Alumina). |
C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61
|
N/A |
WinGo/Agente.BT |
Túnel inverso RevSocks. |
39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6
|
N/A |
limpia |
ProcDump, una utilidad de línea de comandos para monitorear aplicaciones y generar volcados de memoria. |
A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A
|
N/A |
Generik.EYWYQYF |
Mimikatz. |
5D60C8507AC9B840A13FFDF19E3315A3E14DE66A
|
N/A |
WinGo/Riskware.Gost.D |
GO Túnel simple (GOST). |
50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617
|
N/A |
WinGo/HackTool.Chisel.A |
Túnel inverso de cincel. |
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252
|
N/A |
N/A |
Herramienta de descubrimiento Host2IP. |
519CA93366F1B1D71052C6CE140F5C80CE885181
|
N/A |
Win64/Packed.Enigma.BV |
Túnel RevSocks, protegido con la versión de prueba del software de protección Enigma Protector. |
4709827C7A95012AB970BF651ED5183083366C79
|
N/A |
N/A |
Plink (PuTTY Link), una herramienta de conexión de línea de comandos. |
99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8
|
N/A |
Win32/PSWTool.WebBrowserPassView.I |
Una herramienta de recuperación de contraseñas almacenadas en navegadores web. |
E52AA118A59502790A4DD6625854BD93C0DEAF27
|
N/A |
MSIL/HackTool.SQLDump.A |
Una herramienta para interactuar y extraer datos de bases de datos SQL. |
Rutas de archivos
La siguiente es una lista de rutas donde se implementó la puerta trasera del patrocinador en las máquinas victimizadas.
%SYSTEMDRIVE%inetpubwwwrootaspnet_client
%PERFIL DE USUARIO%AppDataLocalTempfile
%PERFIL DE USUARIO%AppDataLocalTemp2low
% PERFIL DE USUARIO% Escritorio
%PERFIL DE USUARIO%Descargasa
% WINDIR%
%WINDIR%INFMSExchange Entrega DSN
%WINDIR%Tareas
%WINDIR%Temp%WINDIR%Tempcrashpad1Archivos
Nuestra red
IP
Provider
Visto por primera vez
Visto por última vez
Detalles
162.55.137[.]20
Hetzner Online GMBH
2021-06-14
2021-06-15
C&C sin energía.
37.120.222[.]168
M247 LTD
2021-11-28
2021-12-12
Patrocinador C&C.
198.144.189[.]74
colocruzamiento
2021-11-29
2021-11-29
Sitio de descarga de herramientas de soporte.
5.255.97[.]172
El grupo de infraestructura BV
2021-09-05
2021-10-28
Sitio de descarga de herramientas de soporte.
IP
Provider
Visto por primera vez
Visto por última vez
Detalles
162.55.137[.]20
Hetzner Online GMBH
2021-06-14
2021-06-15
C&C sin energía.
37.120.222[.]168
M247 LTD
2021-11-28
2021-12-12
Patrocinador C&C.
198.144.189[.]74
colocruzamiento
2021-11-29
2021-11-29
Sitio de descarga de herramientas de soporte.
5.255.97[.]172
El grupo de infraestructura BV
2021-09-05
2021-10-28
Sitio de descarga de herramientas de soporte.
Esta tabla fue construida usando Versión 13 del marco MITRE ATT & CK.
|
Táctica |
ID |
Nombre |
Descripción |
|
Reconocimiento |
Escaneo activo: escaneo de vulnerabilidades |
Ballistic Bobcat busca versiones vulnerables de servidores Microsoft Exchange para explotar. |
|
|
Desarrollo de recursos |
Desarrollar capacidades: malware |
Ballistic Bobcat diseñó y codificó la puerta trasera del patrocinador. |
|
|
Obtenga capacidades: herramienta |
Ballistic Bobcat utiliza varias herramientas de código abierto como parte de la campaña Sponsoring Access. |
||
|
Acceso inicial |
Aprovechar la aplicación de cara al público |
Objetivos Ballistic Bobcat expuestos a Internet Servidores Microsoft Exchange. |
|
|
Ejecución |
Intérprete de comandos y secuencias de comandos: Shell de comandos de Windows |
La puerta trasera del patrocinador utiliza el shell de comandos de Windows para ejecutar comandos en el sistema de la víctima. |
|
|
Servicios del sistema: ejecución de servicios |
La puerta trasera del patrocinador se configura como un servicio e inicia sus funciones principales después de que se ejecuta el servicio. |
||
|
Persistencia |
Crear o modificar procesos del sistema: servicio de Windows |
El patrocinador mantiene la persistencia creando un servicio con inicio automático que ejecuta sus funciones principales en un bucle. |
|
|
Escalada de privilegios |
Cuentas válidas: Cuentas locales |
Los operadores de Ballistic Bobcat intentan robar credenciales de usuarios válidos después de explotar inicialmente un sistema antes de implementar la puerta trasera del patrocinador. |
|
|
Evasión de defensa |
Desofuscar / decodificar archivos o información |
El patrocinador almacena información en el disco que está cifrada y ofuscada, y la desofusca en tiempo de ejecución. |
|
|
Archivos o información ofuscados |
Los archivos de configuración que la puerta trasera del patrocinador requiere en el disco están cifrados y ofuscados. |
||
|
Cuentas válidas: Cuentas locales |
El patrocinador se ejecuta con privilegios de administrador, probablemente utilizando credenciales que los operadores encontraron en el disco; junto con las inocuas convenciones de nomenclatura de Ballistic Bobcat, esto permite que el patrocinador se mezcle con el fondo. |
||
|
Acceso a credenciales |
Credenciales de almacenes de contraseñas: Credenciales de navegadores web |
Los operadores de Ballistic Bobcat utilizan herramientas de código abierto para robar credenciales de los almacenes de contraseñas dentro de los navegadores web. |
|
|
Descubrimiento de moléculas |
Descubrimiento de sistemas remotos |
Ballistic Bobcat utiliza la herramienta Host2IP, utilizada anteriormente por Agrius, para descubrir otros sistemas dentro de redes accesibles y correlacionar sus nombres de host y direcciones IP. |
|
|
Comando y control |
Ofuscación de datos |
La puerta trasera del patrocinador ofusca los datos antes de enviarlos al servidor C&C. |
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- ChartPrime. Eleve su juego comercial con ChartPrime. Accede Aquí.
- Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
- Fuente: https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/
- :posee
- :es
- :no
- :dónde
- $ UP
- 09
- 1
- 10
- 11
- 12
- 13
- 14
- 15%
- 150
- 16
- 179
- 20
- 2021
- 2022
- 23
- 24
- 25
- 31
- 39
- 51
- 60
- 7
- 8
- 80
- 9
- a
- Poder
- Nuestra Empresa
- arriba
- AC
- de la máquina
- Conforme
- Cuentas
- lector activo
- activistas
- actividad
- real
- adicional
- adición
- Adicionales
- dirección
- direcciones
- Admin
- avanzado
- Después
- en contra
- Agente
- aka
- Alertar
- algoritmo
- Todos
- permite
- a lo largo de
- ya haya utilizado
- también
- hacerlo
- an
- analizo
- y
- Otra
- cualquier
- abejas
- API
- applicación
- aparente
- Aparecer
- aparece
- Aplicación
- aplicaciones
- enfoque
- aplicaciones
- APT
- Árabe
- Emiratos Árabes
- Arábica
- arquitectónico
- somos
- argumento
- argumentos
- AS
- contacta
- At
- intentando
- Los intentos
- AGOSTO
- Automático
- automotor
- conscientes
- Atrás
- puerta trasera
- Puertas traseras
- fondo
- basado
- agresión con lesiones
- BE
- se convirtió en
- porque
- esto
- antes
- comportamiento
- CREEMOS
- MEJOR
- mejores
- entre
- Blend
- ambas
- Brasil
- navegadores
- construido
- pero
- by
- C + +
- , que son
- Campaña
- Campañas
- PUEDEN
- capacidades
- servicios sociales
- case
- Reubicación
- Cambios
- comprobar
- comprobación
- elegido
- civil
- limpiar
- código
- codificado
- recoger
- Columna
- COM
- completo
- Comunicación
- Comunicaciónes
- Empresas
- compañía
- comparación
- compromiso
- Comprometida
- computadora
- conductible
- Configuración
- Confirmado
- confuso
- conectado
- conexión
- contacte
- contiene
- contenido
- continúa
- control
- Convención
- cooperativa
- podría
- países
- país
- cubierto
- Crash
- crea
- Creamos
- Referencias
- Current
- personalizado
- cliente
- experiencia del cliente
- datos
- Base de datos
- bases de datos
- Días
- dc
- Diciembre
- Predeterminado
- los defensores
- se define
- entregamos
- entrega
- desplegado
- Desplegando
- despliegue
- describir
- descrito
- Diseño
- diseñado
- detalles
- detectado
- Detección
- Determinar
- determina
- desarrolladores
- Desarrollo
- Dispositivos
- Diamante
- descrubrir
- descubierto CRISPR
- descubrimiento
- diverso
- sí
- dominio
- descargar
- caído
- duración
- durante
- e
- cada una
- facilidad
- Este
- Educación
- Electronic
- Electrónica
- emiratos
- empleado
- cifrado
- cifrado
- y conseguir de esta manera
- comprometido
- Ingeniería
- motores
- Enigma
- Empresa
- entidades
- ambientales
- error
- Errores
- Investigación de ESET
- evidente
- Examinar
- ejemplo
- Intercambio
- ejecutar
- ejecutado
- Ejecuta
- ejecución
- ejecución
- salidas
- experience
- Explotar
- Explotado
- explotando
- Fallidos
- Fracaso
- bastante
- pocos
- campo
- Terrenos
- Figura
- Archive
- archivos
- financiero
- servicios financieros
- empresa de servicios financieros
- Firme
- Nombre
- siguiendo
- Comida
- formato
- encontrado
- Digital XNUMXk
- Desde
- ser completados
- completamente
- función
- funciones
- Obtén
- reunido
- generado
- la generación de
- generación de AHSS
- geográfico
- obtener
- dado
- Buscar
- Go
- Gobierno
- subvenciones
- maravillosa
- Grupo procesos
- A Mitad
- hachís
- hash
- Tienen
- Salud
- el seguro médico
- la salud
- esta página
- Esconder
- fortaleza
- Sin embargo
- HTML
- http
- HTTPS
- humana
- derechos humanos
- i
- ID
- no haber aun identificado una solucion para el problema
- Identifique
- if
- imagen
- la mejora de
- in
- En otra
- incluido
- Incluye
- indicar
- Indica
- indicadores
- información
- EN LA MINA
- inicial
- posiblemente
- Iniciados
- Consultas
- dentro
- aseguradora
- Intelligence
- interactuando
- interesante
- internamente
- dentro
- Introducido
- inversión extranjera
- IP
- Dirección IP
- Direcciones IP
- Israel
- IT
- SUS
- sí mismo
- Periodistas.
- acuerdo
- Clave
- claves
- Saber
- conocido
- Falta
- Apellidos
- luego
- de derecho criminal
- ponedoras
- menos
- Longitud Mínima
- que otros
- Limitada
- línea
- LINK
- Lista
- Listado
- local
- situados
- por más tiempo
- mirando
- MIRADAS
- Máquinas
- hecho
- mantiene
- un mejor mantenimiento.
- Mayoría
- gestiona
- Fabricación
- muchos
- mercado
- Match
- Puede..
- MD5
- personalizado
- significa
- Medios
- servicios
- atención médica
- la investigación médica
- mencionado
- mensaje
- meticuloso
- Microsoft
- Ed. Media
- Oriente Medio
- podría
- mente
- Min
- que falta
- modelo
- modesto
- Modificaciones
- modificar
- modulares
- Momentos
- monitoreo
- MEJOR DE TU
- multinacional
- múltiples
- nombre
- Llamado
- nombrando
- del sistema,
- telecomunicaciones
- nunca
- Nuevo
- Más Nuevos
- Next
- no
- nodo
- Ninguna
- notablemente
- novela
- Noviembre
- ahora
- número
- números
- obtener
- obtenido
- obvio
- of
- Ofertas
- a menudo
- on
- En el lugar
- ONE
- las
- en línea
- , solamente
- habiertos
- de código abierto
- funcionar
- opera
- Inteligente
- operador
- operadores
- Oportunidad
- opuesto
- or
- solicite
- organización
- organizativo
- para las fiestas.
- reconocida por
- Otro
- "nuestr
- salir
- salida
- esbozado
- salida
- Más de
- EL DESARROLLADOR
- EDUCACIÓN FÍSICA
- llena
- página
- pandemia
- parte
- partes
- pasado
- Contraseña
- contraseñas
- pasado
- Patch
- Patrón de Costura
- persistencia
- Personal
- productos farmacéuticos
- los libros físicos
- Natural
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- Por favor
- punto
- Punto de vista.
- puntos
- parte
- posible
- posible
- la posibilidad
- industria
- presente
- anterior
- previamente
- primario
- privada
- privilegios
- probablemente
- tratamiento
- Productos
- Programa
- progresión
- protegido
- Protección
- previsto
- proveedor
- proporciona un
- publicado
- tracción
- empujó
- R
- azar
- Aleatorizado
- más bien
- alcanzando
- recepción
- recibido
- recibe
- recuperación
- referido
- con respecto a
- registrarte
- registro
- relacionado
- permanecer
- reparación
- REPETIDAMENTE
- reemplazar
- reemplazados
- reporte
- reportado
- Informes
- representación
- solicita
- solicitudes
- exigir
- requiere
- la investigación
- investigadores
- resultado
- detallista
- marcha atrás
- las revisiones
- derechos
- derechos de autor
- Ejecutar
- correr
- mismo
- Sierra
- escanear
- exploración
- segundos
- ver
- envío
- enviando
- envía
- expedido
- Septiembre
- Servidores
- de coches
- Servicios
- empresa de servicios
- Sets
- Varios
- Cáscara
- Mostrar
- mostrado
- Shows
- lado
- Visión
- importante
- similares
- sencillos
- página web
- Piel
- sueño
- So
- Software
- Soluciones
- algo
- Fuente
- se especializa
- especializada
- especificado
- patrocinar
- Sponsoring
- Spot
- Etapa
- estándar
- comienza
- inicio
- Zonas
- pasos
- tienda
- almacenados
- tiendas
- strike
- Cordón
- estructura
- posterior
- Después
- comercial
- Con éxito
- suministrada
- proveedor
- SOPORTE
- Apoyar
- te
- Todas las funciones a su disposición
- mesa
- ¡Prepárate!
- toma
- Target
- afectados
- orientación
- tiene como objetivo
- Tecnología
- telecomunicaciones
- diez
- término
- texto
- que
- esa
- La
- la información
- el mundo
- su
- luego
- Ahí.
- de este modo
- Estas
- ellos
- Código
- así
- aquellos
- amenaza
- a lo largo de
- equipo
- calendario
- TM
- a
- juntos
- del IRS
- Total
- seguir
- del mismo día
- juicio
- túnel
- GIRO
- dos
- incapaz
- United
- Arabes unidos
- Emiratos Árabes Unidos
- Estados Unidos
- hasta
- Actualizar
- actualizado
- Actualizaciones
- a
- Enlance
- us
- utilizan el
- usado
- usuarios
- usos
- usando
- utilidad
- utilizado
- Utilizando
- v1
- propuesta de
- Valores
- variedad
- diversos
- versión
- versiones
- verticales
- Víctima
- las víctimas
- Ver
- Visite
- Vulnerabilidades
- vulnerabilidad
- Vulnerable
- fue
- we
- web
- navegadores web
- WELL
- tuvieron
- ¿
- cuando
- mientras
- sean
- que
- mientras
- amplio
- anchura
- ventana
- ventanas
- dentro de
- sin
- trabajando
- mundo
- Organización Mundial de la Salud
- se
- escribir
- escrito
- años
- si
- zephyrnet
- cero
