Sponsor partiivormingus vurridega: Ballistic Bobcati skaneerimine ja tagauks

ESET-i teadlased avastasid Ballistic Bobcati kampaania, mis sihib erinevaid üksusi Brasiilias, Iisraelis ja Araabia Ühendemiraatides, kasutades uudset tagaust, mille oleme nimetanud sponsoriks.

Avastasime sponsori pärast seda, kui analüüsisime 2022. aasta mais Iisraelis ohvrite süsteemis tuvastatud huvitavat näidist ja määrasime ohvrid riigiti. Uurimisel sai meile selgeks, et valim oli uudne tagauks, mille kasutas Ballistic Bobcat APT rühm.

Ballistic Bobcat, mida ESET Research jälgis varem kui APT35/APT42 (teise nimega Charming Kitten, TA453 või PHOSPHORUS), on kahtlustatav Iraaniga ühinenud arenenud püsiva ohurühm mis on suunatud haridus-, valitsus- ja tervishoiuorganisatsioonidele, samuti inimõiguste aktivistidele ja ajakirjanikele. See on kõige aktiivsem Iisraelis, Lähis-Idas ja Ameerika Ühendriikides. Pandeemia ajal oli see suunatud COVID-19-ga seotud organisatsioonidele, sealhulgas Maailma Terviseorganisatsioonile ja Gilead Pharmaceuticalsile, ning meditsiiniuuringute personalile.

Kattuvad Ballistic Bobcati kampaaniad ja sponsori tagaukse versioonid näitavad üsna selget tööriista arendamise ja juurutamise mustrit koos kitsalt sihitud kampaaniatega, millest igaüks on piiratud kestusega. Seejärel avastasime veel neli sponsori tagaukse versiooni. Kokku saadeti sponsor vähemalt 34 ohvrile Brasiilias, Iisraelis ja Araabia Ühendemiraatides, nagu on kirjeldatud  REF _Ref143075975 h Joonis 1
.

Selle ajaveebipostituse põhipunktid:

• Avastasime Ballistic Bobcati poolt kasutusele võetud uue tagaukse, mille hiljem nimetasime sponsoriks.
• Ballistic Bobcat võttis uue tagaukse kasutusele 2021. aasta septembris, samal ajal kui see lõpetas CISA Alert AA21-321A dokumenteeritud kampaania ja PowerLessi kampaania.
• Sponsori tagauks kasutab kettale salvestatud konfiguratsioonifaile. Need failid on diskreetselt juurutatud partiifailide abil ja need on tahtlikult kavandatud nii, et need näivad kahjutud, püüdes seeläbi vältida tuvastamist skannimismootorite abil.
• Sponsor lähetati vähemalt 34 ohvrile Brasiilias, Iisraelis ja Araabia Ühendemiraatides; oleme selle tegevuse nimetanud Sponsoring Accessi kampaaniaks.

Esialgne juurdepääs

Ballistic Bobcat sai esialgse juurdepääsu, kasutades Interneti-avatud Microsoft Exchange'i serverite teadaolevaid turvaauke, viies esmalt läbi süsteemi või võrgu põhjaliku skannimise, et tuvastada võimalikud nõrkused või haavatavused, ning seejärel neid tuvastatud nõrkusi sihtides ja ära kasutades. Rühm on teadaolevalt sellise käitumisega tegelenud juba mõnda aega. Paljusid ESET-i telemeetrias tuvastatud 34 ohvrist võiks siiski kõige parem kirjeldada kui võimaluse ohvreid, mitte eelnevalt valitud ja uuritud ohvreid, kuna kahtlustame, et Ballistic Bobcat osales ülalkirjeldatud skannimise ja ärakasutamise käitumises, kuna see polnud ainus oht. neile süsteemidele juurdepääsu omav osaleja. Oleme selle Ballistic Bobcati tegevuse, kasutades Sponsor tagaust, nimetanud Sponsoring Accessi kampaaniaks.

Sponsori tagauks kasutab kettal olevaid konfiguratsioonifaile, mis on eemaldatud partiifailidega, ja mõlemad on skannimismootoritest möödahiilimiseks kahjutud. Seda modulaarset lähenemist on Ballistic Bobcat viimase kahe ja poole aasta jooksul üsna sageli ja tagasihoidliku eduga kasutanud. Ohustatud süsteemides jätkab Ballistic Bobcat ka mitmesuguste avatud lähtekoodiga tööriistade kasutamist, mida kirjeldame – koos sponsori tagauksega – selles ajaveebi postituses.

Viktimoloogia

Märkimisväärne enamus 34 ohvrist asus Iisraelis, ainult kaks teistes riikides:

• Brasiilia, meditsiiniühistu ja tervisekindlustuse operaatori juures ning
• Araabia Ühendemiraadid, tundmatu organisatsiooni juures.

 REF _Ref112861418 h Tabel 1
kirjeldab Iisraeli ohvrite vertikaale ja organisatsioonilisi üksikasju.

Tabel  SEQ tabel * ARAABIA 1. Iisraeli ohvrite vertikaalid ja organisatsioonilised üksikasjad

Vertikaalne	Detailid
Automotive	·       Autotööstuse ettevõte, mis on spetsialiseerunud kohandatud modifikatsioonidele. ·       Autode remondi ja hooldusega tegelev ettevõte.
Side	·       Iisraeli meediaväljaanne.
Inseneriteadus	·       Tsiviilehitusfirma. ·       Keskkonnainseneri firma. ·       Arhitektuuri projekteerimisbüroo.
Finantsteenused	·       Finantsteenuste ettevõte, mis on spetsialiseerunud investeerimisnõustamisele. ·       Ettevõte, mis haldab autoritasusid.
Tervishoid	·       Arstiabi osutaja.
Kindlustus	·       Kindlustusselts, mis haldab kindlustusturgu. ·       Äriline kindlustusselts.
Seadus	·       Meditsiiniõigusele spetsialiseerunud ettevõte.
tootmine	·       Mitu elektroonikat tootvat ettevõtet. ·       Ettevõte, mis toodab metallipõhiseid kommertstooteid. ·       Rahvusvaheline tehnoloogiat tootev ettevõte.
Jaekaubandus	·       Toidukaupade jaemüüja. ·       Rahvusvaheline teemantide jaemüüja. ·       Nahahooldustoodete jaemüüja. ·       Aknatöötluse jaemüüja ja paigaldaja. ·       Ülemaailmne elektroonikaosade tarnija. ·       Füüsilise juurdepääsu kontrolli tarnija.
Tehnoloogia	·       IT-teenuste tehnoloogiaettevõte. ·       IT-lahenduste pakkuja.
Telekommunikatsioon	·       Telekommunikatsiooniettevõte.
Tundmatu	·       Mitu tuvastamata organisatsiooni.

omistamine

2021. aasta augustis ründas Ballistic Bobcat tööriistadega Iisraeli ohvrit, kes haldab kindlustusturgu. CISA teatas 2021. aasta novembris. Täheldatud kompromissi näitajad on järgmised:

• MicrosoftOutlookUpdateSchedule,
• MicrosoftOutlookUpdateSchedule.xml,
• GoogleChangeManagementja
• GoogleChangeManagement.xml.

Ballistic Bobcati tööriistad suhtlesid sama käsu- ja juhtimisserveriga nagu CISA aruandes: 162.55.137[.]20.

Seejärel, 2021. aasta septembris, sai sama ohver Ballistic Bobcati järgmise põlvkonna tööriistad: Powerless tagauks ja seda toetav tööriistakomplekt. Täheldatud kompromissi näitajad olid järgmised:

• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/dll.dll,
• windowsprocesses.exeja
• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/windowsprocesses.exe.

Novembril 18^th, 2021, võttis rühm seejärel kasutusele teise tööriista (Plink), mida käsitleti CISA aruandes, as MicrosoftOutLookUpdater.exe. Kümme päeva hiljem, 28. novembril^th, 2021, Ballistic Bobcat võttis kasutusele Merlini agent (an. agendi osa avatud lähtekoodiga kasutusjärgne C&C server ja agent, mis on kirjutatud Go-s). Kettal oli see Merlini agent nimeks googleUpdate.exe, kasutades nähtavale peitmiseks sama nimetamisviisi, nagu on kirjeldatud CISA aruandes.

Merlini agent käivitas Meterpreteri pöördkesta, mis kutsus tagasi uude C&C serverisse, 37.120.222[.]168:80. 12. detsembril^th, 2021, tühistas tagurpidi kest partiifaili, install.bat, ja mõne minuti jooksul pärast partiifaili käivitamist lükkasid Ballistic Bobcati operaatorid oma uusima tagaukse Sponsori. See osutuks tagaukse kolmandaks versiooniks.

Tehniline analüüs

Esialgne juurdepääs

Suutsime tuvastada tõenäolise esialgse juurdepääsu 23-le 34-st ESET-i telemeetrias täheldatud ohvrist. Sarnaselt sellega, mida teatati Powerless ja CISA aruannete kohaselt kasutas Ballistic Bobcat tõenäoliselt ära teadaolevat haavatavust, CVE-2021-26855, Microsoft Exchange'i serverites, et nendes süsteemides jalad alla saada.

16 ohvrist 34 puhul näib, et Ballistic Bobcat ei olnud ainus ohustaja, kellel oli juurdepääs nende süsteemidele. See võib koos ohvrite laia valiku ja mõne ohvri ilmse luureväärtuse puudumisega viidata sellele, et Ballistic Bobcat tegeles skaneerimise ja ärakasutamise käitumisega, mitte sihipärasele kampaaniale eelnevalt valitud ohvrite vastu.

Tööriistakomplekt

Avatud lähtekoodiga tööriistad

Ballistic Bobcat kasutas Sponsoring Accessi kampaania ajal mitmeid avatud lähtekoodiga tööriistu. Need tööriistad ja nende funktsioonid on loetletud  REF _Ref112861458 h Tabel 2
.

Tabel  SEQ tabel * ARAABIA 2. Ballistic Bobcati kasutatavad avatud lähtekoodiga tööriistad

Faili	Kirjeldus
host2ip.exe	Kaardid a hostinimi IP-aadressiks kohaliku võrgu sees.
CSRSS.EXE	RevSocks, pöördtunnelirakendus.
mi.exe	Mimikatz, algse failinimega midongle.exe ja pakitud Armadillo PE pakkija.
gost.exe	GO Simple Tunnel (GOST), Go-s kirjutatud tunnelirakendus.
peitel.exe	Tala, TCP/UDP tunnel HTTP kaudu, kasutades SSH kihte.
csrss_protected.exe	RevSocksi tunnel, mis on kaitstud prooviversiooniga Enigma Protector tarkvara kaitse.
plink.exe	Plink (PuTTY Link), käsurea ühenduse tööriist.
WebBrowserPassView.exe	A parooli taastamise tööriist veebibrauseritesse salvestatud paroolide jaoks.
sqlextractor.exe	A tööriist SQL-andmebaasidega suhtlemiseks ja nendest andmete hankimiseks.
procdump64.exe	ProcDumpon  Sysinternalsi käsurea utiliit rakenduste jälgimiseks ja krahhi tõmmiste genereerimiseks.

Pakkfailid

Ballistic Bobcat juurutas ohvrite süsteemidesse pakkfailid hetked enne sponsori tagaukse juurutamist. Meile teadaolevad failiteed on järgmised:

• C:inetpubwwwrootaspnet_clientInstall.bat
• %USERPROFILE%DesktopInstall.bat
• %WINDOWS%TasksInstall.bat

Kahjuks ei õnnestunud meil ühtegi neist pakkfailidest hankida. Usume siiski, et nad kirjutavad kettale kahjutuid konfiguratsioonifaile, mida sponsori tagauks vajab täielikuks toimimiseks. Need seadistuste failinimed võeti sponsori tagauksest, kuid neid ei kogutud kunagi:

• config.txt
• node.txt
• error.txt
• Uninstall.bat

Usume, et partiifailid ja konfiguratsioonifailid on osa modulaarsest arendusprotsessist, mida Ballistic Bobcat on viimastel aastatel eelistanud.

Sponsor tagauks

Sponsori tagauksed on kirjutatud C++ keeles koos kompileerimise ajatemplite ja programmide andmebaasi (PDB) teedega, nagu näidatud  REF _Ref112861527 h Tabel 3
. Märkus versiooninumbrite kohta: veerg versioon tähistab versiooni, mida me sisemiselt jälgime, tuginedes sponsori tagauste lineaarsele edenemisele, kus ühest versioonist teise tehakse muudatusi. The Sisemine versioon veerg sisaldab iga sponsori tagaukse puhul täheldatud versiooninumbreid ja lisatakse nende ja muude potentsiaalsete sponsori näidiste uurimisel võrdlemise hõlbustamiseks.

Tabel 3. Sponsorite koostamise ajatemplid ja esialgsed eelarveprojektid

versioon	Sisemine versioon	Koostamise ajatempel	PDB
1	1.0.0	2021-08-29 09:12:51	D:TempBD_Plus_SrvcReleaseBD_Plus_Srvc.pdb
2	1.0.0	2021-10-09 12:39:15	D:TempSponsorReleaseSponsor.pdb
3	1.4.0	2021-11-24 11:51:55	D:TempSponsorReleaseSponsor.pdb
4	2.1.1	2022-02-19 13:12:07	D:TempSponsorReleaseSponsor.pdb
5	1.2.3.0	2022-06-19 14:14:13	D: TempAluminaReleaseAlumina.pdb

Sponsori esialgne käivitamine nõuab käitusaja argumenti paigaldama, ilma milleta sponsor graatsiliselt väljub, tõenäoliselt lihtne emulatsiooni-/liivakastivastane tehnika. Kui see argument läbitakse, loob sponsor teenuse nimega Süsteemivõrk (in v1) Ja Värskendused (kõikides teistes versioonides). See määrab teenuse Startup Type et Automaatneja seab selle käitama oma sponsorprotsessi ning annab sellele täieliku juurdepääsu. Seejärel käivitab see teenuse.

Sponsor, mis töötab nüüd teenusena, üritab avada ülalnimetatud konfiguratsioonifaile, mis on varem kettale paigutatud. See otsib config.txt ja node.txt, mõlemad praeguses töökataloogis. Kui esimene puudub, määrab sponsor teenuse olekuks Tasuda ja väljub graatsiliselt.

Tagaukse konfiguratsioon

Sponsori konfiguratsioon, salvestatud config.txt, sisaldab kahte välja:

• Värskendusintervall sekundites C&C-serveriga korrapäraseks ühenduse võtmiseks käskude saamiseks.
• C&C serverite loend, millele viidatakse kui releed sponsori binaarfailides.

C&C-serverid salvestatakse krüpteeritult (RC4) ja dekrüpteerimisvõti asub faili esimesel real. config.txt. Kõik väljad, sealhulgas dekrüpteerimisvõti, on näidatud vormingus  REF _Ref142647636 h Joonis 3
.

Need alamväljad on:

• config_start: näitab pikkust konfiguratsiooni_nimi, kui see on olemas, või null, kui mitte. Kasutab tagauks, et teada, kus config_data algab
• config_len: pikkus config_data.
• konfiguratsiooni_nimi: valikuline, sisaldab konfiguratsiooniväljale antud nime.
• config_data: konfiguratsioon ise, krüptitud (C&C serverite puhul) või mitte (kõik muud väljad).

 REF _Ref142648473 h Joonis 4
näitab näidet võimaliku värvikoodiga sisuga config.txt faili. Pange tähele, et see ei ole tegelik fail, mida me vaatlesime, vaid väljamõeldud näide.

Viimased kaks välja config.txt on krüptitud RC4-ga, kasutades andmete krüptimise võtmena määratud dekrüpteerimisvõtme SHA-256 räsi esitust. Näeme, et krüptitud baidid salvestatakse kuueteistkümnendkodeeritult ASCII-tekstina.

Võõrustaja teabe kogumine

Sponsor kogub teavet hosti kohta, millel see töötab, edastab kogu kogutud teabe C&C serverile ja saab sõlme ID, mis kirjutatakse node.txt.  REF _Ref142653641 h Tabel 4
REF _Ref112861575 h
 loetleb Windowsi registris olevad võtmed ja väärtused, mida sponsor teabe hankimiseks kasutab, ning esitab kogutud andmete näite.

Tabel 4. Sponsori kogutud teave

Registri võti	Väärtus	Näide
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters	hostname	D-835MK12
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTimeZoneInformation	TimeZoneKeyName	Iisraeli standardaeg
HKEY_USERS.DEFAULTControl PanelInternational	LocaleName	ta-IL
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONS süsteemBIOS	BaseBoardProduct	10NX0010IL
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessor	Protsessori nimestring	Intel(R) Core(TM) i7-8565U protsessor @ 1.80 GHz
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion	Tootenimi	Windows 10 Enterprise N
	CurrentVersion	6.3
	CurrentBuildNumber	19044
	Installimise tüüp	klient

Sponsor kogub ka hosti Windowsi domeeni, kasutades järgmist WMIC käsk:

wmic arvutisüsteem hankige domeen

Lõpuks kasutab sponsor Windowsi API-sid praeguse kasutajanime (HangiKasutajanimiW), tehke kindlaks, kas praegune sponsorprotsess töötab 32- või 64-bitise rakendusena (Get CurrentProcess, Siis IsWow64Process (praegune protsess)) ja määrab, kas süsteem töötab akutoitel või on ühendatud vahelduv- või alalisvooluallikaga (Hankige SystemPowerStatus).

Üks veidrus seoses 32- või 64-bitise rakenduse kontrolliga on see, et kõik vaadeldud sponsori näidised olid 32-bitised. See võib tähendada, et mõned järgmise etapi tööriistad nõuavad seda teavet.

Kogutud teave saadetakse base64-kodeeringuga sõnumina, mis enne kodeerimist algab r ja sellel on näidatud vorming  REF _Ref142655224 h Joonis 5
.

Teave krüpteeritakse RC4-ga ja krüpteerimisvõti on kohapeal genereeritud juhuslik arv. Võti räsitakse MD5 algoritmiga, mitte SHA-256-ga, nagu eelnevalt mainitud. See kehtib kogu suhtluse puhul, mille puhul sponsor peab saatma krüptitud andmeid.

C&C server vastab numbriga, mida kasutatakse ohvriks langenud arvuti tuvastamiseks hilisemas suhtluses ja millele kirjutatakse node.txt. Pange tähele, et C&C server valitakse loendist juhuslikult, kui r sõnum saadetakse ja kogu järgnevas suhtluses kasutatakse sama serverit.

Käskude töötlemise silmus

Sponsor taotleb käske tsüklina, uinates vastavalt jaotises määratletud intervallile config.txt. Toimingud on järgmised:

1. Saada chk=Testi sõnumit korduvalt, kuni C&C server vastab Ok.
2. Saada c (IS_CMD_AVAIL) sõnumi C&C serverile ja saada operaatori käsk.
3. Töötle käsku.
   • Kui C&C serverisse saadetakse väljund, saatke an a (ACK) teade, sealhulgas väljund (krüpteeritud) või
   • Kui täitmine ebaõnnestus, saatke an f (Failed) sõnum. Veateadet ei saadeta.
4. Magada.

. c sõnum saadetakse käsu täitmiseks ja selle vorming (enne base64 kodeerimist) on näidatud  REF _Ref142658017 h Joonis 6
.

. krüptitud_puudub joonisel olev väli on kõvakoodiga stringi krüptimise tulemus mitte ükski koos RC4-ga. Krüptimise võti on MD5 räsi sõlme_id.

C&C serveriga ühenduse võtmiseks kasutatav URL on üles ehitatud järgmiselt: http://<IP_or_domain>:80. See võib viidata sellele 37.120.222[.]168:80 on ainus C&C server, mida kasutati kogu Sponsoring Accessi kampaania vältel, kuna see oli ainus IP-aadress, mida me täheldasime ohvrite masinate jõudmist pordis 80.

Operaatori käsud

Operaatori käsud on piiritletud  REF _Ref112861551 h Tabel 5
ja kuvatakse koodis leidmise järjekorras. Side C&C serveriga toimub pordi 80 kaudu.

Tabel 5. Operaatori käsud ja kirjeldused

käsk	Kirjeldus
p	Saadab jooksva sponsoriprotsessi protsessi ID.
e	Käivitab järgmises täiendavas argumendis määratud käsu sponsori hostis, kasutades järgmist stringi: c:windowssystem32cmd.exe /c    > result.txt 2>&1 Tulemused on salvestatud tulemus.txt praeguses töökataloogis. Saadab an a sõnum krüptitud väljundiga C&C serverile, kui see on edukalt täidetud. Ebaõnnestumise korral saadab an f teade (ilma viga täpsustamata).
d	Võtab C&C serverist vastu faili ja käivitab selle. Sellel käsul on palju argumente: sihtfaili nimi, kuhu fail kirjutada, faili MD5 räsi, kataloog, kuhu fail kirjutada (või vaikimisi praegune töökataloog), Boolean, mis näitab, kas fail käivitada või mitte ja käivitatava faili sisu, base64-kodeering. Kui vigu ei esine, an a sõnum saadetakse C&C serverisse Laadige fail üles ja käivitage edukalt or Faili üleslaadimine ilma käivitamiseta õnnestus (krüpteeritud). Kui faili täitmisel ilmnevad tõrked, a f sõnum on saadetud. Kui faili sisu MD5 räsi ei ühti antud räsiga, a e (CRC_ERROR) sõnum saadetakse C&C serverile (sealhulgas ainult kasutatud krüpteerimisvõti, mitte aga muud teavet). Termini kasutamine Täiendava See võib tekitada segadust, kuna Ballistic Bobcati operaatorid ja kodeerijad võtavad vaatenurga serveri poolelt, samas kui paljud võivad seda vaadata kui allalaadimist, mis põhineb faili tõmbamisel (st selle allalaadimisel) süsteemi poolt Sponsori tagaukse abil.
u	Proovib faili alla laadida, kasutades URLDownloadFileW Windows API ja käivitage see. Edu saadab an a sõnum kasutatud krüpteerimisvõtmega ja muud teavet pole. Ebaõnnestumine saadab an f sarnase ülesehitusega sõnum.
s	Käivitab juba kettal oleva faili, Uninstall.bat praeguses töökataloogis, mis tõenäoliselt sisaldab käske tagauksega seotud failide kustutamiseks.
n	Selle käsu võib anda selgesõnaliselt operaator või sponsor võib selle järeldada kui käsku, mis tuleb täita muu käsu puudumisel. Sponsoris viidatud kui NO_CMD, käivitab see enne C&C serveriga uuesti sisselogimist juhusliku unerežiimi.
b	Värskendab asukohta salvestatud C&C-de loendit config.txt praeguses töökataloogis. Uued C&C aadressid asendavad varasemad; neid nimekirja ei lisata. See saadab an a sõnumiga Uued releed edukalt vahetatud (krüpteeritud) C&C serverisse, kui värskendamine õnnestub.
i	Värskendab punktis määratud etteantud sisseregistreerimise intervalli config.txt. See saadab an a sõnumiga Uus intervall edukalt asendatud eduka värskendamise korral C&C serverisse.

Sponsori värskendused

Ballistic Bobcati kodeerijad tegid Sponsor v1 ja v2 vahel koodi parandusi. Kaks kõige olulisemat muudatust viimases on:

• Koodi optimeerimine, kus mitmed pikemad funktsioonid on minimeeritud funktsioonideks ja alamfunktsioonideks ning
• Sponsori maskeerimine värskendajaprogrammiks, lisades teenuse konfiguratsiooni järgmise sõnumi:

Rakenduste värskendused sobivad suurepäraselt nii rakenduste kasutajatele kui ka rakendustele – uuendused tähendavad, et arendajad töötavad alati rakenduse täiustamise kallal, pidades silmas iga värskendusega paremat kliendikogemust.

Võrgu infrastruktuur

Lisaks PowerLessi kampaanias kasutatud C&C infrastruktuurile, tutvustas Ballistic Bobcat ka uut C&C-serverit. Rühm kasutas sponsorluskampaania ajal tugitööriistade salvestamiseks ja tarnimiseks ka mitut IP-d. Oleme kinnitanud, et ükski neist IP-aadressidest ei tööta praegu.

Järeldus

Ballistic Bobcat jätkab töötamist skannimis- ja ärakasutamismudelil, otsides võimaluste sihtmärke, millel on parandamata haavatavused Internetiga avatud Microsoft Exchange'i serverites. Rühm kasutab jätkuvalt mitmekesist avatud lähtekoodiga tööriistakomplekti, mida on täiendatud mitme kohandatud rakendusega, sealhulgas sponsori tagauksega. Kaitsjatel soovitatakse parandada kõik Interneti-ühendusega seadmed ja olla valvsad, et nende organisatsioonidesse ilmuvad uued rakendused.

Kui teil on küsimusi meie WeLiveSecurity avaldatud uurimistöö kohta, võtke meiega ühendust aadressil ohuintel@eset.com.
ESET Research pakub privaatseid APT luurearuandeid ja andmevooge. Kui teil on selle teenuse kohta küsimusi, külastage aadressi ESET Threat Intelligence lehel.

IoC-d

Faile

SHA-1	Faili	Detection	Kirjeldus
098B9A6CE722311553E1D8AC5849BA1DC5834C52	N / A	Win32/Agent.UXG	Ballistic Bobcati tagauks, sponsor (v1).
5AEE3C957056A8640041ABC108D0B8A3D7A02EBD	N / A	Win32/Agent.UXG	Ballistic Bobcati tagauks, sponsor (v2).
764EB6CA3752576C182FC19CFF3E86C38DD51475	N / A	Win32/Agent.UXG	Ballistic Bobcati tagauks, sponsor (v3).
2F3EDA9D788A35F4C467B63860E73C3B010529CC	N / A	Win32/Agent.UXG	Ballistic Bobcati tagauks, sponsor (v4).
E443DC53284537513C00818392E569C79328F56F	N / A	Win32/Agent.UXG	Ballistic Bobcat tagauks, sponsor (v5, aka Alumina).
C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61	N / A	WinGo/Agent.BT	RevSocks tagurpidi tunnel.
39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6	N / A	puhastama	ProcDump, käsurea utiliit rakenduste jälgimiseks ja krahhi tõmmiste genereerimiseks.
A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A	N / A	Generik.EYWYQYF	Mimikatz.
5D60C8507AC9B840A13FFDF19E3315A3E14DE66A	N / A	WinGo/Riskware.Gost.D	GO Simple Tunnel (GOST).
50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617	N / A	WinGo/HackTool.Chisel.A	Meisli tagurpidi tunnel.
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252	N / A	N / A	Host2IP avastamise tööriist.
519CA93366F1B1D71052C6CE140F5C80CE885181	N / A	Win64/Packed.Enigma.BV	RevSocksi tunnel, kaitstud Enigma Protector tarkvara kaitse prooviversiooniga.
4709827C7A95012AB970BF651ED5183083366C79	N / A	N / A	Plink (PuTTY Link), käsurea ühenduse tööriist.
99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8	N / A	Win32/PSWTool.WebBrowserPassView.I	Parooli taastamise tööriist veebibrauseritesse salvestatud paroolide jaoks.
E52AA118A59502790A4DD6625854BD93C0DEAF27	N / A	MSIL/HackTool.SQLDump.A	Tööriist SQL-andmebaasidega suhtlemiseks ja nendest andmete hankimiseks.

 

Failide teed

Järgmine on loend teedest, kus sponsori tagauks kasutati ohvriks langenud masinatele.

%SYSTEMDRIVE%inetpubwwwrootaspnet_client

%USERPROFILE%AppDataLocalTempfile

%USERPROFILE%AppDataLocalTemp2low

%USERPROFILE%Töölaud

%USERPROFILE%Allalaadiminea

% WINDIR%

%WINDIR%INFMSExchange kohaletoimetamise DSN

%WINDIR%Tasks

%WINDIR%Temp%WINDIR%Tempcrashpad1failid

võrk

IP	Provider	Esimest korda nähtud	Viimati nähtud	Detailid
162.55.137[.]20	Hetzner Online GMBH	2021-06-14	2021-06-15	Powerless C&C.
37.120.222[.]168	M247 LTD	2021-11-28	2021-12-12	Sponsor C&C.
198.144.189[.]74	Colocrossing	2021-11-29	2021-11-29	Tugitööriistade allalaadimise sait.
5.255.97[.]172	Infrastructure Group BV	2021-09-05	2021-10-28	Tugitööriistade allalaadimise sait.

See laud on ehitatud kasutades versioon 13 MITER ATT&CK raamistikust.

Taktika	ID	Nimi	Kirjeldus
Tutvumine	T1595	Aktiivne skannimine: haavatavuse kontrollimine	Ballistic Bobcat otsib ärakasutamiseks haavatavaid Microsoft Exchange Serverite versioone.
Ressursside arendamine	T1587.001	Võimaluste arendamine: pahavara	Ballistic Bobcat kujundas ja kodeeris sponsori tagaukse.
	T1588.002	Võimaluste hankimine: tööriist	Ballistic Bobcat kasutab Sponsoring Accessi kampaania raames erinevaid avatud lähtekoodiga tööriistu.
Esialgne juurdepääs	T1190	Kasutage avalikku rakendust	Ballistiline Bobcat sihib Internetis  Microsoft Exchange'i serverid.
Täitmine	T1059.003	Käskude ja skriptitõlk: Windowsi käsukest	Sponsori tagauks kasutab ohvri süsteemis käskude täitmiseks Windowsi käsukest.
	T1569.002	Süsteemiteenused: teenuse täitmine	Sponsori tagauks seab end teenuseks ja käivitab oma põhifunktsioonid pärast teenuse käivitamist.
Püsivus	T1543.003	Süsteemiprotsessi loomine või muutmine: Windowsi teenus	Sponsor säilitab püsivuse, luues automaatse käivitamisega teenuse, mis täidab oma põhifunktsioone tsüklina.
Privileegi eskaleerimine	T1078.003	Kehtivad kontod: kohalikud kontod	Ballistic Bobcati operaatorid üritavad varastada kehtivate kasutajate mandaate pärast süsteemi esmast ärakasutamist enne sponsori tagaukse juurutamist.
Kaitsest kõrvalehoidmine	T1140	Failide või teabe deobfuskeerimine/dekodeerimine	Sponsor salvestab kettale teabe, mis on krüptitud ja hägustatud, ning deobfuskeerib selle käitusajal.
	T1027	Hägustatud failid või teave	Konfiguratsioonifailid, mida sponsori tagauks vajab kettal, on krüptitud ja hägustatud.
	T1078.003	Kehtivad kontod: kohalikud kontod	Sponsor käivitatakse administraatoriõigustega, kasutades tõenäoliselt mandaate, mille operaatorid kettalt leidsid; koos Ballistic Bobcati kahjutute nimede andmise tavadega võimaldab see Sponsoril taustale sulanduda.
Juurdepääs mandaatidele	T1555.003	Mandaat paroolipoodidest: mandaat veebibrauserites	Ballistic Bobcati operaatorid kasutavad avatud lähtekoodiga tööriistu, et varastada mandaate veebibrauserite paroolipoodidest.
avastus	T1018	Kaugsüsteemi avastamine	Ballistic Bobcat kasutab tööriista Host2IP, mida Agrius varem kasutas, et avastada ligipääsetavates võrkudes teisi süsteeme ning seostada nende hostinimesid ja IP-aadresse.
Juhtimine ja kontroll	T1001	Andmete hägustamine	Sponsori tagauks hägustab andmed enne C&C serverisse saatmist.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Autod/elektrisõidukid, Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• ChartPrime. Tõsta oma kauplemismängu ChartPrime'iga kõrgemale. Juurdepääs siia.
• BlockOffsets. Keskkonnakompensatsiooni omandi ajakohastamine. Juurdepääs siia.
• Allikas: https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/