ESET-i teadlased avastasid Ballistic Bobcati kampaania, mis sihib erinevaid üksusi Brasiilias, Iisraelis ja Araabia Ühendemiraatides, kasutades uudset tagaust, mille oleme nimetanud sponsoriks.
Avastasime sponsori pärast seda, kui analüüsisime 2022. aasta mais Iisraelis ohvrite süsteemis tuvastatud huvitavat näidist ja määrasime ohvrid riigiti. Uurimisel sai meile selgeks, et valim oli uudne tagauks, mille kasutas Ballistic Bobcat APT rühm.
Ballistic Bobcat, mida ESET Research jälgis varem kui APT35/APT42 (teise nimega Charming Kitten, TA453 või PHOSPHORUS), on kahtlustatav Iraaniga ühinenud arenenud püsiva ohurühm mis on suunatud haridus-, valitsus- ja tervishoiuorganisatsioonidele, samuti inimõiguste aktivistidele ja ajakirjanikele. See on kõige aktiivsem Iisraelis, Lähis-Idas ja Ameerika Ühendriikides. Pandeemia ajal oli see suunatud COVID-19-ga seotud organisatsioonidele, sealhulgas Maailma Terviseorganisatsioonile ja Gilead Pharmaceuticalsile, ning meditsiiniuuringute personalile.
Kattuvad Ballistic Bobcati kampaaniad ja sponsori tagaukse versioonid näitavad üsna selget tööriista arendamise ja juurutamise mustrit koos kitsalt sihitud kampaaniatega, millest igaüks on piiratud kestusega. Seejärel avastasime veel neli sponsori tagaukse versiooni. Kokku saadeti sponsor vähemalt 34 ohvrile Brasiilias, Iisraelis ja Araabia Ühendemiraatides, nagu on kirjeldatud REF _Ref143075975 h Joonis 1
.
Selle ajaveebipostituse põhipunktid:
- Avastasime Ballistic Bobcati poolt kasutusele võetud uue tagaukse, mille hiljem nimetasime sponsoriks.
- Ballistic Bobcat võttis uue tagaukse kasutusele 2021. aasta septembris, samal ajal kui see lõpetas CISA Alert AA21-321A dokumenteeritud kampaania ja PowerLessi kampaania.
- Sponsori tagauks kasutab kettale salvestatud konfiguratsioonifaile. Need failid on diskreetselt juurutatud partiifailide abil ja need on tahtlikult kavandatud nii, et need näivad kahjutud, püüdes seeläbi vältida tuvastamist skannimismootorite abil.
- Sponsor lähetati vähemalt 34 ohvrile Brasiilias, Iisraelis ja Araabia Ühendemiraatides; oleme selle tegevuse nimetanud Sponsoring Accessi kampaaniaks.
Esialgne juurdepääs
Ballistic Bobcat sai esialgse juurdepääsu, kasutades Interneti-avatud Microsoft Exchange'i serverite teadaolevaid turvaauke, viies esmalt läbi süsteemi või võrgu põhjaliku skannimise, et tuvastada võimalikud nõrkused või haavatavused, ning seejärel neid tuvastatud nõrkusi sihtides ja ära kasutades. Rühm on teadaolevalt sellise käitumisega tegelenud juba mõnda aega. Paljusid ESET-i telemeetrias tuvastatud 34 ohvrist võiks siiski kõige parem kirjeldada kui võimaluse ohvreid, mitte eelnevalt valitud ja uuritud ohvreid, kuna kahtlustame, et Ballistic Bobcat osales ülalkirjeldatud skannimise ja ärakasutamise käitumises, kuna see polnud ainus oht. neile süsteemidele juurdepääsu omav osaleja. Oleme selle Ballistic Bobcati tegevuse, kasutades Sponsor tagaust, nimetanud Sponsoring Accessi kampaaniaks.
Sponsori tagauks kasutab kettal olevaid konfiguratsioonifaile, mis on eemaldatud partiifailidega, ja mõlemad on skannimismootoritest möödahiilimiseks kahjutud. Seda modulaarset lähenemist on Ballistic Bobcat viimase kahe ja poole aasta jooksul üsna sageli ja tagasihoidliku eduga kasutanud. Ohustatud süsteemides jätkab Ballistic Bobcat ka mitmesuguste avatud lähtekoodiga tööriistade kasutamist, mida kirjeldame – koos sponsori tagauksega – selles ajaveebi postituses.
Viktimoloogia
Märkimisväärne enamus 34 ohvrist asus Iisraelis, ainult kaks teistes riikides:
- Brasiilia, meditsiiniühistu ja tervisekindlustuse operaatori juures ning
- Araabia Ühendemiraadid, tundmatu organisatsiooni juures.
REF _Ref112861418 h Tabel 1
kirjeldab Iisraeli ohvrite vertikaale ja organisatsioonilisi üksikasju.
Tabel SEQ tabel * ARAABIA 1. Iisraeli ohvrite vertikaalid ja organisatsioonilised üksikasjad
Vertikaalne |
Detailid |
Automotive |
· Autotööstuse ettevõte, mis on spetsialiseerunud kohandatud modifikatsioonidele. · Autode remondi ja hooldusega tegelev ettevõte. |
Side |
· Iisraeli meediaväljaanne. |
Inseneriteadus |
· Tsiviilehitusfirma. · Keskkonnainseneri firma. · Arhitektuuri projekteerimisbüroo. |
Finantsteenused |
· Finantsteenuste ettevõte, mis on spetsialiseerunud investeerimisnõustamisele. · Ettevõte, mis haldab autoritasusid. |
Tervishoid |
· Arstiabi osutaja. |
Kindlustus |
· Kindlustusselts, mis haldab kindlustusturgu. · Äriline kindlustusselts. |
Seadus |
· Meditsiiniõigusele spetsialiseerunud ettevõte. |
tootmine |
· Mitu elektroonikat tootvat ettevõtet. · Ettevõte, mis toodab metallipõhiseid kommertstooteid. · Rahvusvaheline tehnoloogiat tootev ettevõte. |
Jaekaubandus |
· Toidukaupade jaemüüja. · Rahvusvaheline teemantide jaemüüja. · Nahahooldustoodete jaemüüja. · Aknatöötluse jaemüüja ja paigaldaja. · Ülemaailmne elektroonikaosade tarnija. · Füüsilise juurdepääsu kontrolli tarnija. |
Tehnoloogia |
· IT-teenuste tehnoloogiaettevõte. · IT-lahenduste pakkuja. |
Telekommunikatsioon |
· Telekommunikatsiooniettevõte. |
Tundmatu |
· Mitu tuvastamata organisatsiooni. |
omistamine
2021. aasta augustis ründas Ballistic Bobcat tööriistadega Iisraeli ohvrit, kes haldab kindlustusturgu. CISA teatas 2021. aasta novembris. Täheldatud kompromissi näitajad on järgmised:
- MicrosoftOutlookUpdateSchedule,
- MicrosoftOutlookUpdateSchedule.xml,
- GoogleChangeManagementja
- GoogleChangeManagement.xml.
Ballistic Bobcati tööriistad suhtlesid sama käsu- ja juhtimisserveriga nagu CISA aruandes: 162.55.137[.]20.
Seejärel, 2021. aasta septembris, sai sama ohver Ballistic Bobcati järgmise põlvkonna tööriistad: Powerless tagauks ja seda toetav tööriistakomplekt. Täheldatud kompromissi näitajad olid järgmised:
- http://162.55.137[.]20/gsdhdDdfgA5sS/ff/dll.dll,
- windowsprocesses.exeja
- http://162.55.137[.]20/gsdhdDdfgA5sS/ff/windowsprocesses.exe.
Novembril 18th, 2021, võttis rühm seejärel kasutusele teise tööriista (Plink), mida käsitleti CISA aruandes, as MicrosoftOutLookUpdater.exe. Kümme päeva hiljem, 28. novembrilth, 2021, Ballistic Bobcat võttis kasutusele Merlini agent (an. agendi osa avatud lähtekoodiga kasutusjärgne C&C server ja agent, mis on kirjutatud Go-s). Kettal oli see Merlini agent nimeks googleUpdate.exe, kasutades nähtavale peitmiseks sama nimetamisviisi, nagu on kirjeldatud CISA aruandes.
Merlini agent käivitas Meterpreteri pöördkesta, mis kutsus tagasi uude C&C serverisse, 37.120.222[.]168:80. 12. detsembrilth, 2021, tühistas tagurpidi kest partiifaili, install.bat, ja mõne minuti jooksul pärast partiifaili käivitamist lükkasid Ballistic Bobcati operaatorid oma uusima tagaukse Sponsori. See osutuks tagaukse kolmandaks versiooniks.
Tehniline analüüs
Esialgne juurdepääs
Suutsime tuvastada tõenäolise esialgse juurdepääsu 23-le 34-st ESET-i telemeetrias täheldatud ohvrist. Sarnaselt sellega, mida teatati Powerless ja CISA aruannete kohaselt kasutas Ballistic Bobcat tõenäoliselt ära teadaolevat haavatavust, CVE-2021-26855, Microsoft Exchange'i serverites, et nendes süsteemides jalad alla saada.
16 ohvrist 34 puhul näib, et Ballistic Bobcat ei olnud ainus ohustaja, kellel oli juurdepääs nende süsteemidele. See võib koos ohvrite laia valiku ja mõne ohvri ilmse luureväärtuse puudumisega viidata sellele, et Ballistic Bobcat tegeles skaneerimise ja ärakasutamise käitumisega, mitte sihipärasele kampaaniale eelnevalt valitud ohvrite vastu.
Tööriistakomplekt
Avatud lähtekoodiga tööriistad
Ballistic Bobcat kasutas Sponsoring Accessi kampaania ajal mitmeid avatud lähtekoodiga tööriistu. Need tööriistad ja nende funktsioonid on loetletud REF _Ref112861458 h Tabel 2
.
Tabel SEQ tabel * ARAABIA 2. Ballistic Bobcati kasutatavad avatud lähtekoodiga tööriistad
Faili |
Kirjeldus |
host2ip.exe
|
Kaardid a hostinimi IP-aadressiks kohaliku võrgu sees. |
CSRSS.EXE
|
RevSocks, pöördtunnelirakendus. |
mi.exe
|
Mimikatz, algse failinimega midongle.exe ja pakitud Armadillo PE pakkija. |
gost.exe
|
GO Simple Tunnel (GOST), Go-s kirjutatud tunnelirakendus. |
peitel.exe
|
Tala, TCP/UDP tunnel HTTP kaudu, kasutades SSH kihte. |
csrss_protected.exe
|
RevSocksi tunnel, mis on kaitstud prooviversiooniga Enigma Protector tarkvara kaitse. |
plink.exe
|
Plink (PuTTY Link), käsurea ühenduse tööriist. |
WebBrowserPassView.exe
|
A parooli taastamise tööriist veebibrauseritesse salvestatud paroolide jaoks.
|
sqlextractor.exe
|
A tööriist SQL-andmebaasidega suhtlemiseks ja nendest andmete hankimiseks. |
procdump64.exe
|
ProcDumpon Sysinternalsi käsurea utiliit rakenduste jälgimiseks ja krahhi tõmmiste genereerimiseks. |
Pakkfailid
Ballistic Bobcat juurutas ohvrite süsteemidesse pakkfailid hetked enne sponsori tagaukse juurutamist. Meile teadaolevad failiteed on järgmised:
- C:inetpubwwwrootaspnet_clientInstall.bat
- %USERPROFILE%DesktopInstall.bat
- %WINDOWS%TasksInstall.bat
Kahjuks ei õnnestunud meil ühtegi neist pakkfailidest hankida. Usume siiski, et nad kirjutavad kettale kahjutuid konfiguratsioonifaile, mida sponsori tagauks vajab täielikuks toimimiseks. Need seadistuste failinimed võeti sponsori tagauksest, kuid neid ei kogutud kunagi:
- config.txt
- node.txt
- error.txt
- Uninstall.bat
Usume, et partiifailid ja konfiguratsioonifailid on osa modulaarsest arendusprotsessist, mida Ballistic Bobcat on viimastel aastatel eelistanud.
Sponsor tagauks
Sponsori tagauksed on kirjutatud C++ keeles koos kompileerimise ajatemplite ja programmide andmebaasi (PDB) teedega, nagu näidatud REF _Ref112861527 h Tabel 3
. Märkus versiooninumbrite kohta: veerg versioon tähistab versiooni, mida me sisemiselt jälgime, tuginedes sponsori tagauste lineaarsele edenemisele, kus ühest versioonist teise tehakse muudatusi. The Sisemine versioon veerg sisaldab iga sponsori tagaukse puhul täheldatud versiooninumbreid ja lisatakse nende ja muude potentsiaalsete sponsori näidiste uurimisel võrdlemise hõlbustamiseks.
Tabel 3. Sponsorite koostamise ajatemplid ja esialgsed eelarveprojektid
versioon |
Sisemine versioon |
Koostamise ajatempel |
PDB |
1 |
1.0.0 |
2021-08-29 09:12:51 |
D:TempBD_Plus_SrvcReleaseBD_Plus_Srvc.pdb |
2 |
1.0.0 |
2021-10-09 12:39:15 |
D:TempSponsorReleaseSponsor.pdb |
3 |
1.4.0 |
2021-11-24 11:51:55 |
D:TempSponsorReleaseSponsor.pdb |
4 |
2.1.1 |
2022-02-19 13:12:07 |
D:TempSponsorReleaseSponsor.pdb |
5 |
1.2.3.0 |
2022-06-19 14:14:13 |
D: TempAluminaReleaseAlumina.pdb |
Sponsori esialgne käivitamine nõuab käitusaja argumenti paigaldama, ilma milleta sponsor graatsiliselt väljub, tõenäoliselt lihtne emulatsiooni-/liivakastivastane tehnika. Kui see argument läbitakse, loob sponsor teenuse nimega Süsteemivõrk (in v1) Ja Värskendused (kõikides teistes versioonides). See määrab teenuse Startup Type et Automaatneja seab selle käitama oma sponsorprotsessi ning annab sellele täieliku juurdepääsu. Seejärel käivitab see teenuse.
Sponsor, mis töötab nüüd teenusena, üritab avada ülalnimetatud konfiguratsioonifaile, mis on varem kettale paigutatud. See otsib config.txt ja node.txt, mõlemad praeguses töökataloogis. Kui esimene puudub, määrab sponsor teenuse olekuks Tasuda ja väljub graatsiliselt.
Tagaukse konfiguratsioon
Sponsori konfiguratsioon, salvestatud config.txt, sisaldab kahte välja:
- Värskendusintervall sekundites C&C-serveriga korrapäraseks ühenduse võtmiseks käskude saamiseks.
- C&C serverite loend, millele viidatakse kui releed sponsori binaarfailides.
C&C-serverid salvestatakse krüpteeritult (RC4) ja dekrüpteerimisvõti asub faili esimesel real. config.txt. Kõik väljad, sealhulgas dekrüpteerimisvõti, on näidatud vormingus REF _Ref142647636 h Joonis 3
.
Need alamväljad on:
- config_start: näitab pikkust konfiguratsiooni_nimi, kui see on olemas, või null, kui mitte. Kasutab tagauks, et teada, kus config_data algab
- config_len: pikkus config_data.
- konfiguratsiooni_nimi: valikuline, sisaldab konfiguratsiooniväljale antud nime.
- config_data: konfiguratsioon ise, krüptitud (C&C serverite puhul) või mitte (kõik muud väljad).
REF _Ref142648473 h Joonis 4
näitab näidet võimaliku värvikoodiga sisuga config.txt faili. Pange tähele, et see ei ole tegelik fail, mida me vaatlesime, vaid väljamõeldud näide.
Viimased kaks välja config.txt on krüptitud RC4-ga, kasutades andmete krüptimise võtmena määratud dekrüpteerimisvõtme SHA-256 räsi esitust. Näeme, et krüptitud baidid salvestatakse kuueteistkümnendkodeeritult ASCII-tekstina.
Võõrustaja teabe kogumine
Sponsor kogub teavet hosti kohta, millel see töötab, edastab kogu kogutud teabe C&C serverile ja saab sõlme ID, mis kirjutatakse node.txt. REF _Ref142653641 h Tabel 4
REF _Ref112861575 h
loetleb Windowsi registris olevad võtmed ja väärtused, mida sponsor teabe hankimiseks kasutab, ning esitab kogutud andmete näite.
Tabel 4. Sponsori kogutud teave
Registri võti |
Väärtus |
Näide |
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
|
hostname
|
D-835MK12
|
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTimeZoneInformation
|
TimeZoneKeyName
|
Iisraeli standardaeg
|
HKEY_USERS.DEFAULTControl PanelInternational
|
LocaleName
|
ta-IL
|
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONS süsteemBIOS
|
BaseBoardProduct
|
10NX0010IL
|
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessor
|
Protsessori nimestring
|
Intel(R) Core(TM) i7-8565U protsessor @ 1.80 GHz
|
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion
|
Tootenimi
|
Windows 10 Enterprise N
|
CurrentVersion
|
6.3
|
|
CurrentBuildNumber
|
19044
|
|
Installimise tüüp
|
klient
|
Sponsor kogub ka hosti Windowsi domeeni, kasutades järgmist WMIC käsk:
wmic arvutisüsteem hankige domeen
Lõpuks kasutab sponsor Windowsi API-sid praeguse kasutajanime (HangiKasutajanimiW), tehke kindlaks, kas praegune sponsorprotsess töötab 32- või 64-bitise rakendusena (Get CurrentProcess, Siis IsWow64Process (praegune protsess)) ja määrab, kas süsteem töötab akutoitel või on ühendatud vahelduv- või alalisvooluallikaga (Hankige SystemPowerStatus).
Üks veidrus seoses 32- või 64-bitise rakenduse kontrolliga on see, et kõik vaadeldud sponsori näidised olid 32-bitised. See võib tähendada, et mõned järgmise etapi tööriistad nõuavad seda teavet.
Kogutud teave saadetakse base64-kodeeringuga sõnumina, mis enne kodeerimist algab r ja sellel on näidatud vorming REF _Ref142655224 h Joonis 5
.
Teave krüpteeritakse RC4-ga ja krüpteerimisvõti on kohapeal genereeritud juhuslik arv. Võti räsitakse MD5 algoritmiga, mitte SHA-256-ga, nagu eelnevalt mainitud. See kehtib kogu suhtluse puhul, mille puhul sponsor peab saatma krüptitud andmeid.
C&C server vastab numbriga, mida kasutatakse ohvriks langenud arvuti tuvastamiseks hilisemas suhtluses ja millele kirjutatakse node.txt. Pange tähele, et C&C server valitakse loendist juhuslikult, kui r sõnum saadetakse ja kogu järgnevas suhtluses kasutatakse sama serverit.
Käskude töötlemise silmus
Sponsor taotleb käske tsüklina, uinates vastavalt jaotises määratletud intervallile config.txt. Toimingud on järgmised:
- Saada chk=Testi sõnumit korduvalt, kuni C&C server vastab Ok.
- Saada c (IS_CMD_AVAIL) sõnumi C&C serverile ja saada operaatori käsk.
- Töötle käsku.
- Kui C&C serverisse saadetakse väljund, saatke an a (ACK) teade, sealhulgas väljund (krüpteeritud) või
- Kui täitmine ebaõnnestus, saatke an f
(
Failed) sõnum. Veateadet ei saadeta.
- Magada.
. c sõnum saadetakse käsu täitmiseks ja selle vorming (enne base64 kodeerimist) on näidatud REF _Ref142658017 h Joonis 6
.
. krüptitud_puudub joonisel olev väli on kõvakoodiga stringi krüptimise tulemus mitte ükski koos RC4-ga. Krüptimise võti on MD5 räsi sõlme_id.
C&C serveriga ühenduse võtmiseks kasutatav URL on üles ehitatud järgmiselt: http://<IP_or_domain>:80. See võib viidata sellele 37.120.222[.]168:80 on ainus C&C server, mida kasutati kogu Sponsoring Accessi kampaania vältel, kuna see oli ainus IP-aadress, mida me täheldasime ohvrite masinate jõudmist pordis 80.
Operaatori käsud
Operaatori käsud on piiritletud REF _Ref112861551 h Tabel 5
ja kuvatakse koodis leidmise järjekorras. Side C&C serveriga toimub pordi 80 kaudu.
Tabel 5. Operaatori käsud ja kirjeldused
käsk |
Kirjeldus |
p |
Saadab jooksva sponsoriprotsessi protsessi ID. |
e |
Käivitab järgmises täiendavas argumendis määratud käsu sponsori hostis, kasutades järgmist stringi: c:windowssystem32cmd.exe /c > result.txt 2>&1 Tulemused on salvestatud tulemus.txt praeguses töökataloogis. Saadab an a sõnum krüptitud väljundiga C&C serverile, kui see on edukalt täidetud. Ebaõnnestumise korral saadab an f teade (ilma viga täpsustamata). |
d |
Võtab C&C serverist vastu faili ja käivitab selle. Sellel käsul on palju argumente: sihtfaili nimi, kuhu fail kirjutada, faili MD5 räsi, kataloog, kuhu fail kirjutada (või vaikimisi praegune töökataloog), Boolean, mis näitab, kas fail käivitada või mitte ja käivitatava faili sisu, base64-kodeering. Kui vigu ei esine, an a sõnum saadetakse C&C serverisse Laadige fail üles ja käivitage edukalt or Faili üleslaadimine ilma käivitamiseta õnnestus (krüpteeritud). Kui faili täitmisel ilmnevad tõrked, a f sõnum on saadetud. Kui faili sisu MD5 räsi ei ühti antud räsiga, a e (CRC_ERROR) sõnum saadetakse C&C serverile (sealhulgas ainult kasutatud krüpteerimisvõti, mitte aga muud teavet). Termini kasutamine Täiendava See võib tekitada segadust, kuna Ballistic Bobcati operaatorid ja kodeerijad võtavad vaatenurga serveri poolelt, samas kui paljud võivad seda vaadata kui allalaadimist, mis põhineb faili tõmbamisel (st selle allalaadimisel) süsteemi poolt Sponsori tagaukse abil. |
u |
Proovib faili alla laadida, kasutades URLDownloadFileW Windows API ja käivitage see. Edu saadab an a sõnum kasutatud krüpteerimisvõtmega ja muud teavet pole. Ebaõnnestumine saadab an f sarnase ülesehitusega sõnum. |
s |
Käivitab juba kettal oleva faili, Uninstall.bat praeguses töökataloogis, mis tõenäoliselt sisaldab käske tagauksega seotud failide kustutamiseks. |
n |
Selle käsu võib anda selgesõnaliselt operaator või sponsor võib selle järeldada kui käsku, mis tuleb täita muu käsu puudumisel. Sponsoris viidatud kui NO_CMD, käivitab see enne C&C serveriga uuesti sisselogimist juhusliku unerežiimi. |
b |
Värskendab asukohta salvestatud C&C-de loendit config.txt praeguses töökataloogis. Uued C&C aadressid asendavad varasemad; neid nimekirja ei lisata. See saadab an a sõnumiga |
i |
Värskendab punktis määratud etteantud sisseregistreerimise intervalli config.txt. See saadab an a sõnumiga Uus intervall edukalt asendatud eduka värskendamise korral C&C serverisse. |
Sponsori värskendused
Ballistic Bobcati kodeerijad tegid Sponsor v1 ja v2 vahel koodi parandusi. Kaks kõige olulisemat muudatust viimases on:
- Koodi optimeerimine, kus mitmed pikemad funktsioonid on minimeeritud funktsioonideks ja alamfunktsioonideks ning
- Sponsori maskeerimine värskendajaprogrammiks, lisades teenuse konfiguratsiooni järgmise sõnumi:
Rakenduste värskendused sobivad suurepäraselt nii rakenduste kasutajatele kui ka rakendustele – uuendused tähendavad, et arendajad töötavad alati rakenduse täiustamise kallal, pidades silmas iga värskendusega paremat kliendikogemust.
Võrgu infrastruktuur
Lisaks PowerLessi kampaanias kasutatud C&C infrastruktuurile, tutvustas Ballistic Bobcat ka uut C&C-serverit. Rühm kasutas sponsorluskampaania ajal tugitööriistade salvestamiseks ja tarnimiseks ka mitut IP-d. Oleme kinnitanud, et ükski neist IP-aadressidest ei tööta praegu.
Järeldus
Ballistic Bobcat jätkab töötamist skannimis- ja ärakasutamismudelil, otsides võimaluste sihtmärke, millel on parandamata haavatavused Internetiga avatud Microsoft Exchange'i serverites. Rühm kasutab jätkuvalt mitmekesist avatud lähtekoodiga tööriistakomplekti, mida on täiendatud mitme kohandatud rakendusega, sealhulgas sponsori tagauksega. Kaitsjatel soovitatakse parandada kõik Interneti-ühendusega seadmed ja olla valvsad, et nende organisatsioonidesse ilmuvad uued rakendused.
Kui teil on küsimusi meie WeLiveSecurity avaldatud uurimistöö kohta, võtke meiega ühendust aadressil ohuintel@eset.com.
ESET Research pakub privaatseid APT luurearuandeid ja andmevooge. Kui teil on selle teenuse kohta küsimusi, külastage aadressi ESET Threat Intelligence lehel.
IoC-d
Faile
SHA-1 |
Faili |
Detection |
Kirjeldus |
098B9A6CE722311553E1D8AC5849BA1DC5834C52
|
N / A |
Win32/Agent.UXG |
Ballistic Bobcati tagauks, sponsor (v1). |
5AEE3C957056A8640041ABC108D0B8A3D7A02EBD
|
N / A |
Win32/Agent.UXG |
Ballistic Bobcati tagauks, sponsor (v2). |
764EB6CA3752576C182FC19CFF3E86C38DD51475
|
N / A |
Win32/Agent.UXG |
Ballistic Bobcati tagauks, sponsor (v3). |
2F3EDA9D788A35F4C467B63860E73C3B010529CC
|
N / A |
Win32/Agent.UXG |
Ballistic Bobcati tagauks, sponsor (v4). |
E443DC53284537513C00818392E569C79328F56F
|
N / A |
Win32/Agent.UXG |
Ballistic Bobcat tagauks, sponsor (v5, aka Alumina). |
C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61
|
N / A |
WinGo/Agent.BT |
RevSocks tagurpidi tunnel. |
39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6
|
N / A |
puhastama |
ProcDump, käsurea utiliit rakenduste jälgimiseks ja krahhi tõmmiste genereerimiseks. |
A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A
|
N / A |
Generik.EYWYQYF |
Mimikatz. |
5D60C8507AC9B840A13FFDF19E3315A3E14DE66A
|
N / A |
WinGo/Riskware.Gost.D |
GO Simple Tunnel (GOST). |
50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617
|
N / A |
WinGo/HackTool.Chisel.A |
Meisli tagurpidi tunnel. |
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252
|
N / A |
N / A |
Host2IP avastamise tööriist. |
519CA93366F1B1D71052C6CE140F5C80CE885181
|
N / A |
Win64/Packed.Enigma.BV |
RevSocksi tunnel, kaitstud Enigma Protector tarkvara kaitse prooviversiooniga. |
4709827C7A95012AB970BF651ED5183083366C79
|
N / A |
N / A |
Plink (PuTTY Link), käsurea ühenduse tööriist. |
99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8
|
N / A |
Win32/PSWTool.WebBrowserPassView.I |
Parooli taastamise tööriist veebibrauseritesse salvestatud paroolide jaoks. |
E52AA118A59502790A4DD6625854BD93C0DEAF27
|
N / A |
MSIL/HackTool.SQLDump.A |
Tööriist SQL-andmebaasidega suhtlemiseks ja nendest andmete hankimiseks. |
Failide teed
Järgmine on loend teedest, kus sponsori tagauks kasutati ohvriks langenud masinatele.
%SYSTEMDRIVE%inetpubwwwrootaspnet_client
%USERPROFILE%AppDataLocalTempfile
%USERPROFILE%AppDataLocalTemp2low
%USERPROFILE%Töölaud
%USERPROFILE%Allalaadiminea
% WINDIR%
%WINDIR%INFMSExchange kohaletoimetamise DSN
%WINDIR%Tasks
%WINDIR%Temp%WINDIR%Tempcrashpad1failid
võrk
IP
Provider
Esimest korda nähtud
Viimati nähtud
Detailid
162.55.137[.]20
Hetzner Online GMBH
2021-06-14
2021-06-15
Powerless C&C.
37.120.222[.]168
M247 LTD
2021-11-28
2021-12-12
Sponsor C&C.
198.144.189[.]74
Colocrossing
2021-11-29
2021-11-29
Tugitööriistade allalaadimise sait.
5.255.97[.]172
Infrastructure Group BV
2021-09-05
2021-10-28
Tugitööriistade allalaadimise sait.
IP
Provider
Esimest korda nähtud
Viimati nähtud
Detailid
162.55.137[.]20
Hetzner Online GMBH
2021-06-14
2021-06-15
Powerless C&C.
37.120.222[.]168
M247 LTD
2021-11-28
2021-12-12
Sponsor C&C.
198.144.189[.]74
Colocrossing
2021-11-29
2021-11-29
Tugitööriistade allalaadimise sait.
5.255.97[.]172
Infrastructure Group BV
2021-09-05
2021-10-28
Tugitööriistade allalaadimise sait.
See laud on ehitatud kasutades versioon 13 MITER ATT&CK raamistikust.
Taktika |
ID |
Nimi |
Kirjeldus |
Tutvumine |
Aktiivne skannimine: haavatavuse kontrollimine |
Ballistic Bobcat otsib ärakasutamiseks haavatavaid Microsoft Exchange Serverite versioone. |
|
Ressursside arendamine |
Võimaluste arendamine: pahavara |
Ballistic Bobcat kujundas ja kodeeris sponsori tagaukse. |
|
Võimaluste hankimine: tööriist |
Ballistic Bobcat kasutab Sponsoring Accessi kampaania raames erinevaid avatud lähtekoodiga tööriistu. |
||
Esialgne juurdepääs |
Kasutage avalikku rakendust |
Ballistiline Bobcat sihib Internetis Microsoft Exchange'i serverid. |
|
Täitmine |
Käskude ja skriptitõlk: Windowsi käsukest |
Sponsori tagauks kasutab ohvri süsteemis käskude täitmiseks Windowsi käsukest. |
|
Süsteemiteenused: teenuse täitmine |
Sponsori tagauks seab end teenuseks ja käivitab oma põhifunktsioonid pärast teenuse käivitamist. |
||
Püsivus |
Süsteemiprotsessi loomine või muutmine: Windowsi teenus |
Sponsor säilitab püsivuse, luues automaatse käivitamisega teenuse, mis täidab oma põhifunktsioone tsüklina. |
|
Privileegi eskaleerimine |
Kehtivad kontod: kohalikud kontod |
Ballistic Bobcati operaatorid üritavad varastada kehtivate kasutajate mandaate pärast süsteemi esmast ärakasutamist enne sponsori tagaukse juurutamist. |
|
Kaitsest kõrvalehoidmine |
Failide või teabe deobfuskeerimine/dekodeerimine |
Sponsor salvestab kettale teabe, mis on krüptitud ja hägustatud, ning deobfuskeerib selle käitusajal. |
|
Hägustatud failid või teave |
Konfiguratsioonifailid, mida sponsori tagauks vajab kettal, on krüptitud ja hägustatud. |
||
Kehtivad kontod: kohalikud kontod |
Sponsor käivitatakse administraatoriõigustega, kasutades tõenäoliselt mandaate, mille operaatorid kettalt leidsid; koos Ballistic Bobcati kahjutute nimede andmise tavadega võimaldab see Sponsoril taustale sulanduda. |
||
Juurdepääs mandaatidele |
Mandaat paroolipoodidest: mandaat veebibrauserites |
Ballistic Bobcati operaatorid kasutavad avatud lähtekoodiga tööriistu, et varastada mandaate veebibrauserite paroolipoodidest. |
|
avastus |
Kaugsüsteemi avastamine |
Ballistic Bobcat kasutab tööriista Host2IP, mida Agrius varem kasutas, et avastada ligipääsetavates võrkudes teisi süsteeme ning seostada nende hostinimesid ja IP-aadresse. |
|
Juhtimine ja kontroll |
Andmete hägustamine |
Sponsori tagauks hägustab andmed enne C&C serverisse saatmist. |
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Autod/elektrisõidukid, Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- ChartPrime. Tõsta oma kauplemismängu ChartPrime'iga kõrgemale. Juurdepääs siia.
- BlockOffsets. Keskkonnakompensatsiooni omandi ajakohastamine. Juurdepääs siia.
- Allikas: https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/
- :on
- :on
- :mitte
- : kus
- $ UP
- 09
- 1
- 10
- 11
- 12
- 13
- 14
- 15%
- 150
- 16
- 179
- 20
- 2021
- 2022
- 23
- 24
- 25
- 31
- 39
- 51
- 60
- 7
- 8
- 80
- 9
- a
- Võimalik
- MEIST
- üle
- AC
- juurdepääs
- Vastavalt
- Kontod
- aktiivne
- aktivistid
- tegevus
- tegelik
- lisatud
- lisamine
- Täiendavad lisad
- aadress
- aadressid
- admin
- edasijõudnud
- pärast
- vastu
- Agent
- aka
- Häire
- algoritm
- Materjal: BPA ja flataatide vaba plastik
- võimaldab
- mööda
- juba
- Ka
- alati
- an
- analüüsitud
- ja
- Teine
- mistahes
- API
- API-liidesed
- app
- ilmne
- ilmuma
- ilmub
- taotlus
- rakendused
- lähenemine
- apps
- APT
- araabia
- Araabia Ühendemiraadid
- araabia
- arhitektuuri-
- OLEME
- argument
- argumendid
- AS
- küsima
- At
- üritab
- Katsed
- AUGUST
- Automaatne
- auto
- teadlik
- tagasi
- tagauks
- Tagauksed
- tagapõhi
- põhineb
- aku
- BE
- sai
- sest
- olnud
- enne
- käitumine
- Uskuma
- BEST
- Parem
- vahel
- Segu
- mõlemad
- Brasiilia
- brauserid
- ehitatud
- kuid
- by
- C + +
- kutsutud
- Kampaania
- Kampaaniad
- CAN
- võimeid
- mis
- juhul
- keskus
- Vaidluste lahendamine
- kontrollima
- kontroll
- valitud
- tsiviil-
- selge
- kood
- kodeeritud
- koguma
- Veerg
- COM
- kaubandus-
- KOMMUNIKATSIOON
- Side
- Ettevõtted
- ettevõte
- võrdlus
- kompromiss
- Kompromissitud
- arvuti
- Juhtimine
- konfiguratsioon
- KINNITATUD
- segane
- seotud
- ühendus
- kontakt
- sisaldab
- sisu
- pidev
- kontrollida
- Konventsioon
- ühistu
- võiks
- riikides
- riik
- kaetud
- krahh
- loob
- loomine
- volikiri
- Praegune
- tava
- klient
- Kliendi kogemus
- andmed
- andmebaas
- andmebaasid
- Päeva
- dc
- Detsember
- vaikimisi
- Kaitsjad
- määratletud
- tarnima
- tarne
- lähetatud
- juurutamine
- kasutuselevõtu
- kirjeldama
- kirjeldatud
- Disain
- kavandatud
- detailid
- tuvastatud
- Detection
- Määrama
- määrab
- Arendajad
- & Tarkvaraarendus
- seadmed
- teemant
- avastama
- avastasin
- avastus
- jaotus
- mitu
- ei
- domeen
- lae alla
- langes
- kestus
- ajal
- e
- iga
- leevendada
- Ida
- Käsitöö
- Elektrooniline
- Elektroonika
- Emirates
- töötavad
- krüpteeritud
- krüpteerimist
- tegelema
- hõivatud
- Inseneriteadus
- Mootorid
- Mõistatus
- ettevõte
- üksuste
- keskkonna-
- viga
- vead
- ESET-i uuringud
- ilmne
- Uurimine
- näide
- vahetamine
- täitma
- täidetud
- Täidab
- hukkamine
- täitmine
- väljub
- kogemus
- Ekspluateeri
- Exploited
- ära kasutades
- Ebaõnnestunud
- ebaedu
- õiglaselt
- vähe
- väli
- Valdkonnad
- Joonis
- fail
- Faile
- finants-
- finantsteenused
- finantsteenuste ettevõte
- Firma
- esimene
- Järel
- toit
- eest
- formaat
- avastatud
- neli
- Alates
- täis
- täielikult
- funktsioon
- funktsioonid
- kasu
- kogutud
- loodud
- teeniva
- põlvkond
- geograafiline
- saama
- antud
- Globaalne
- Go
- Valitsus
- toetusi
- suur
- Grupp
- Pool
- hash
- räsitud
- Olema
- Tervis
- ravikindlustus
- tervishoid
- siin
- varjama
- võõrustaja
- aga
- HTML
- http
- HTTPS
- inim-
- inimõiguste
- i
- ID
- tuvastatud
- identifitseerima
- if
- pilt
- Paranemist
- in
- Teistes
- lisatud
- Kaasa arvatud
- näitama
- näitab
- näitajad
- info
- Infrastruktuur
- esialgne
- esialgu
- Algatab
- Päringud
- sees
- kindlustus
- Intelligentsus
- suhtlevad
- huvitav
- sisemiselt
- sisse
- sisse
- investeering
- IP
- IP-aadress
- IP-aadressid
- Iisrael
- IT
- ITS
- ise
- Ajakirjanikud
- pidamine
- Võti
- võtmed
- Teadma
- teatud
- puudus
- viimane
- pärast
- Seadus
- kihid
- kõige vähem
- Pikkus
- Tõenäoliselt
- piiratud
- joon
- LINK
- nimekiri
- Loetletud
- kohalik
- asub
- enam
- otsin
- välimus
- masinad
- tehtud
- jääb
- hooldus
- Enamus
- haldab
- tootmine
- palju
- turul
- Vastama
- mai..
- MD5
- keskmine
- vahendid
- Meedia
- meditsiini-
- arstiabi
- meditsiinilised uuringud
- mainitud
- sõnum
- pedantne
- Microsoft
- Kesk-
- Lähis-Ida
- võib
- meeles
- protokoll
- puuduvad
- mudel
- tagasihoidlik
- Muudatused
- muutma
- modulaarne
- Hetki
- järelevalve
- kõige
- rahvusvahelised
- mitmekordne
- nimi
- Nimega
- nimetamine
- võrk
- võrgustikud
- mitte kunagi
- Uus
- Uusim
- järgmine
- ei
- sõlme
- mitte ükski
- eelkõige
- romaan
- November
- nüüd
- number
- numbrid
- saama
- saadud
- Ilmne
- of
- Pakkumised
- sageli
- on
- Kohapeal
- ONE
- ones
- Internetis
- ainult
- avatud
- avatud lähtekoodiga
- töötama
- tegutseb
- töö
- operaator
- ettevõtjad
- Võimalus
- vastupidine
- or
- et
- organisatsioon
- organisatsiooniline
- organisatsioonid
- originaal
- Muu
- meie
- välja
- pistikupesa
- välja toodud
- väljund
- üle
- enda
- P&E
- pakitud
- lehekülg
- pandeemia
- osa
- osad
- Vastu võetud
- Parool
- paroolid
- minevik
- Plaaster
- Muster
- püsivus
- Personal
- farmaatsiatooted
- füüsiline
- tavaline
- Platon
- Platoni andmete intelligentsus
- PlatoData
- palun
- Punkt
- Vaatepunkt
- võrra
- osa
- võimalik
- potentsiaal
- potentsiaalselt
- võim
- esitada
- eelmine
- varem
- esmane
- era-
- privileegid
- tõenäoliselt
- protsess
- töötlemine
- Toodet
- Programm
- progressioon
- kaitstud
- kaitse
- tingimusel
- tarnija
- annab
- avaldatud
- tõmmates
- lükatakse
- R
- juhuslik
- Juhuslikult valitud
- pigem
- jõuda
- saama
- saadud
- saab
- taastumine
- nimetatud
- kohta
- registreerima
- registri
- seotud
- jääma
- remont
- KORDUVALT
- asendama
- asendatakse
- aru
- Teatatud
- Aruanded
- esindamine
- taotleda
- Taotlusi
- nõudma
- Vajab
- teadustöö
- Teadlased
- kaasa
- jaemüüja
- tagasikäik
- parandused
- õigusi
- kasutustasu
- jooks
- jooksmine
- sama
- nägin
- skaneerida
- skaneerimine
- sekundit
- vaata
- saatma
- saatmine
- saadab
- Saadetud
- September
- Serverid
- teenus
- Teenused
- teenindusettevõte
- Komplektid
- mitu
- Shell
- näitama
- näidatud
- Näitused
- külg
- vaatepilt
- märkimisväärne
- sarnane
- lihtne
- site
- nahk
- uni
- So
- tarkvara
- Lahendused
- mõned
- allikas
- spetsialiseerunud
- spetsialiseerunud
- määratletud
- sponsor
- sponsoreerimine
- Kaubandus-
- Stage
- standard
- algab
- käivitamisel
- Ühendriigid
- Sammud
- salvestada
- ladustatud
- kauplustes
- lööma
- nöör
- struktuur
- järgnev
- Järgnevalt
- edu
- Edukalt
- varustatud
- tarnija
- toetama
- Toetamine
- süsteem
- süsteemid
- tabel
- Võtma
- võtnud
- sihtmärk
- suunatud
- sihtimine
- eesmärgid
- Tehnoloogia
- telekommunikatsioon
- kümme
- termin
- tekst
- kui
- et
- .
- teave
- maailm
- oma
- SIIS
- Seal.
- sellega
- Need
- nad
- Kolmas
- see
- need
- oht
- läbi kogu
- aeg
- ajakava
- TM
- et
- kokku
- tööriist
- töövahendid
- Summa
- jälgida
- ravi
- kohtuprotsess
- tunnel
- Pöörake
- kaks
- ei suuda
- Ühendatud
- Ühendatud Araabia
- Araabia Ühendemiraadid
- Ühendriigid
- kuni
- Värskendused
- ajakohastatud
- Uudised
- peale
- URL
- us
- kasutama
- Kasutatud
- Kasutajad
- kasutusalad
- kasutamine
- kasulikkus
- kasutatud
- kasutades
- v1
- väärtus
- Väärtused
- sort
- eri
- versioon
- versioonid
- vertikaalid
- Ohver
- ohvreid
- vaade
- visiit
- Haavatavused
- haavatavus
- Haavatav
- oli
- we
- web
- Veebibrauserid
- Hästi
- olid
- M
- millal
- samas kui
- kas
- mis
- kuigi
- lai
- laius
- aken
- aknad
- koos
- jooksul
- ilma
- töö
- maailm
- World Health Organization
- oleks
- kirjutama
- kirjalik
- aastat
- jah
- sephyrnet
- null