Sponsoroi erän viiksillä: Ballistic Bobcatin skannaus ja iskevä takaovi

ESET-tutkijat löysivät Ballistic Bobcat -kampanjan, joka on kohdistettu eri tahoille Brasiliassa, Israelissa ja Yhdistyneissä arabiemiirikunnissa käyttämällä uutta takaovea, jonka olemme nimenneet Sponsoriksi.

Löysimme Sponsorin analysoituamme mielenkiintoisen näytteen, jonka havaitsimme uhrin järjestelmästä Israelissa toukokuussa 2022, ja arvioimme uhrin maittain. Tutkittuamme meille kävi selväksi, että näyte oli uusi Ballistic Bobcat APT -ryhmän käyttämä takaovi.

Ballistic Bobcat, jonka ESET Research on aiemmin seurannut nimellä APT35/APT42 (alias Charming Kitten, TA453 tai PHOSPHORUS), epäillään Iranin liittolainen kehittynyt jatkuva uhkaryhmä joka on suunnattu koulutus-, hallitus- ja terveydenhuoltojärjestöille sekä ihmisoikeusaktivisteille ja toimittajille. Se on aktiivisin Israelissa, Lähi-idässä ja Yhdysvalloissa. Pandemian aikana se kohdistui erityisesti COVID-19:ään liittyviin organisaatioihin, mukaan lukien Maailman terveysjärjestö ja Gilead Pharmaceuticals, sekä lääketieteen tutkimushenkilöstö.

Päällekkäisyydet Ballistic Bobcat -kampanjoiden välillä ja Sponsorin takaoven versiot osoittavat melko selkeän työkalun kehittämisen ja käyttöönoton mallin, ja niissä on tiukasti kohdennettuja kampanjoita, joiden kesto on rajoitettu. Myöhemmin löysimme neljä muuta versiota Sponsorin takaovesta. Näimme yhteensä Sponsorin lähetettävän vähintään 34 uhriin Brasiliassa, Israelissa ja Yhdistyneissä arabiemiirikunnissa, kuten  REF _Ref143075975 h Kuva 1
.

Tämän blogikirjoituksen pääkohdat:

• Löysimme uuden Ballistic Bobcatin käyttöönoton takaoven, jonka myöhemmin nimesimme Sponsoriksi.
• Ballistic Bobcat otti uuden takaoven käyttöön syyskuussa 2021, samalla kun se päätti CISA Alert AA21-321A:ssa dokumentoitua kampanjaa ja PowerLess-kampanjaa.
• Sponsorin takaovi käyttää levylle tallennettuja asetustiedostoja. Nämä tiedostot otetaan huomaamattomasti käyttöön erätiedostoilla ja ne on tarkoituksella suunniteltu näyttämään harmittomilta, mikä yrittää välttää skannauskoneiden havaitsemisen.
• Sponsori lähetettiin ainakin 34 uhriin Brasiliassa, Israelissa ja Yhdistyneissä arabiemiirikunnissa; olemme nimenneet tämän toiminnon Sponsoring Access -kampanjaksi.

Alkuperäinen pääsy

Ballistic Bobcat sai alkupääsyn hyödyntämällä Internetissä näkyvien Microsoft Exchange -palvelimien tunnettuja haavoittuvuuksia suorittamalla ensin järjestelmän tai verkon perusteelliset tarkistukset mahdollisten heikkouksien tai haavoittuvuuksien tunnistamiseksi ja kohdistamalla sitten tunnistettuihin heikkouksiin ja hyödyntämällä niitä. Ryhmän on tiedetty harjoittaneen tätä toimintaa jo jonkin aikaa. Monia ESET-telemetriassa tunnistetuista 34 uhrista voidaan kuitenkin parhaiten kuvata mahdollisuuksien uhreiksi eikä ennalta valituiksi ja tutkituiksi uhreiksi, koska epäilemme Ballistic Bobcatin osallistuneen yllä kuvattuun skannaus- ja hyväksikäyttökäyttäytymiseen, koska se ei ollut ainoa uhka. toimija, jolla on pääsy näihin järjestelmiin. Olemme nimenneet tämän Sponsorin takaovea hyödyntävän Ballistic Bobcat -aktiviteetin Sponsoring Access -kampanjaksi.

Sponsorin takaovi käyttää levyllä olevia määritystiedostoja, jotka on jätetty pois erätiedostoista, ja molemmat ovat vaarattomia, jotta ne ohittavat tarkistuskoneet. Tätä modulaarista lähestymistapaa Ballistic Bobcat on käyttänyt melko usein ja vaatimattomalla menestyksellä viimeisen kahden ja puolen vuoden aikana. Vaarallisissa järjestelmissä Ballistic Bobcat jatkaa myös useiden avoimen lähdekoodin työkalujen käyttöä, joita kuvailemme – yhdessä Sponsorin takaoven kanssa – tässä blogikirjoituksessa.

victimology

Merkittävä enemmistö 34 uhrista sijaitsi Israelissa, ja vain kaksi muissa maissa:

• Brasiliassa lääketieteellisessä osuuskunnassa ja sairausvakuutusyhtiössä
• Yhdistyneet arabiemiirikunnat, tunnistamattomassa organisaatiossa.

 REF _Ref112861418 h Pöytä 1
kuvailee Israelin uhrien vertikaaleja ja organisaation yksityiskohtia.

Pöytä  SEQ-taulukko * ARABIA 1. Israelin uhrien vertikaaliset ja organisaatiotiedot

Pystysuora	Lisätiedot
Automotive	·       Autoalan yritys, joka on erikoistunut räätälöityihin muokkauksiin. ·       Autojen korjaus- ja huoltoyritys.
Yhteydenpito	·       Israelilainen media.
Tekniikka	·       Maa- ja vesirakennusalan yritys. ·       Ympäristöinsinööritoimisto. ·       Arkkitehtisuunnittelutoimisto.
Rahoituspalvelut	·       Sijoitusneuvontaan erikoistunut rahoituspalveluyritys. ·       Rojalteja hallinnoiva yritys.
Terveydenhuolto	·       Sairaanhoidon tarjoaja.
Vakuutus	·       Vakuutusyhtiö, joka ylläpitää vakuutusmarkkinapaikkaa. ·       Kaupallinen vakuutusyhtiö.
Laki	·       Lääketieteen lakiin erikoistunut yritys.
valmistus	·       Useita elektroniikkaa valmistavia yrityksiä. ·       Yritys, joka valmistaa metallipohjaisia ​​kaupallisia tuotteita. ·       Monikansallinen teknologiaa valmistava yritys.
Vähittäiskaupan ja ravintola-alan konsultointi	·       Ruokakauppias. ·       Monikansallinen timanttien jälleenmyyjä. ·       Ihonhoitotuotteiden jälleenmyyjä. ·       Ikkunankäsittelyalan jälleenmyyjä ja asentaja. ·       Maailmanlaajuinen elektroniikkaosien toimittaja. ·       Fyysinen kulunvalvontatoimittaja.
Elektroniikka	·       IT-palveluita tarjoava teknologiayritys. ·       IT-ratkaisujen toimittaja.
Tietoliikenne	·       Tietoliikenneyritys.
tunnistamaton	·       Useita tunnistamattomia organisaatioita.

Nimeä

Elokuussa 2021 Ballistic Bobcat hyökkäsi työkaluilla Israelin uhrin, joka ylläpitää vakuutusmarkkinapaikkaa. CISA raportoi marraskuussa 2021. Havaitsemamme kompromissin indikaattorit ovat:

• MicrosoftOutlookUpdateSchedule,
• MicrosoftOutlookUpdateSchedule.xml,
• GoogleChangeManagementja
• GoogleChangeManagement.xml.

Ballistic Bobcat -työkalut kommunikoivat saman komento- ja ohjauspalvelimen (C&C) kanssa kuin CISA-raportissa: 162.55.137[.]20.

Sitten syyskuussa 2021 sama uhri sai seuraavan sukupolven Ballistic Bobcat -työkalut: Tehoton takaovi ja sitä tukeva työkalusarja. Havaitsemamme kompromissin indikaattorit olivat:

• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/dll.dll,
• windowsprocesses.exeja
• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/windowsprocesses.exe.

Marraskuun 18^th, 2021, ryhmä otti sitten käyttöön toisen työkalun (Plink), jota käsiteltiin CISA-raportissa, as MicrosoftOutLookUpdater.exe. Kymmenen päivää myöhemmin, 28. marraskuuta^th, 2021, Ballistic Bobcat otti käyttöön Merlinin agentti (agentin osa an avoimen lähdekoodin hyödyntämisen jälkeinen C&C-palvelin ja Go:lla kirjoitettu agentti). Levyllä tämä Merlin-agentti nimettiin googleUpdate.exe, käyttämällä samaa nimeämiskäytäntöä kuin CISA-raportissa kuvattiin piiloutuakseen näkyville.

Merlin-agentti suoritti Meterpreter-käänteisen kuoren, joka kutsui takaisin uudelle C&C-palvelimelle, 37.120.222[.]168:80. Joulukuun 12. päivänä^th, 2021, käänteinen kuori pudotti erätiedoston, install.bat, ja muutamassa minuutissa erätiedoston suorittamisen jälkeen Ballistic Bobcat -operaattorit työnsivät uusimman takaoven, Sponsorin. Tämä osoittautuisi takaoven kolmanneksi versioksi.

Tekninen analyysi

Alkuperäinen pääsy

Pystyimme tunnistamaan todennäköisen tavan päästä alkuun 23:lle niistä 34 uhrista, jotka havaitsimme ESET-telemetriassa. Samanlainen kuin mitä on raportoitu Voimaton ja CISA raporttien mukaan Ballistic Bobcat todennäköisesti käytti hyväkseen tunnettua haavoittuvuutta, CVE-2021-26855, Microsoft Exchange -palvelimissa saadakseen jalansijaa näissä järjestelmissä.

Näyttää siltä, ​​että 16 34 uhrista Ballistic Bobcat ei ollut ainoa uhkatekijä, jolla oli pääsy heidän järjestelmiinsä. Tämä saattaa viitata uhrien laajan kirjon ja muutamien uhrien ilmeisen tiedusteluarvon puutteen lisäksi siihen, että Ballistic Bobcat harjoitti skannaus- ja hyväksikäyttökäyttäytymistä, toisin kuin kohdennettu kampanja ennalta valittuja uhreja vastaan.

työkalusarja

Avoimen lähdekoodin työkalut

Ballistic Bobcat käytti useita avoimen lähdekoodin työkaluja Sponsoring Access -kampanjan aikana. Nämä työkalut ja niiden toiminnot on lueteltu kohdassa  REF _Ref112861458 h Pöytä 2
.

Pöytä  SEQ-taulukko * ARABIA 2. Ballistic Bobcatin käyttämät avoimen lähdekoodin työkalut

Tiedostonimi	Kuvaus
host2ip.exe	Kartat a isäntänimi IP-osoitteeseen paikallisen verkon sisällä.
Csrss.exe	RevSocks, käänteinen tunnelisovellus.
mi.exe	Mimikatz, alkuperäisellä tiedostonimellä midongle.exe ja täynnä Armadillo PE-pakkaus.
gost.exe	GO Simple Tunnel (GOST), Go-kielellä kirjoitettu tunnelointisovellus.
chisel.exe	Taltta, TCP/UDP-tunneli HTTP:n yli käyttäen SSH-kerroksia.
csrss_protected.exe	RevSocks-tunneli, suojattu kokeiluversiolla Enigma Protector ohjelmistosuojaus.
plink.exe	Plink (PuTTY Link), komentoriviyhteystyökalu.
WebBrowserPassView.exe	A salasanan palautustyökalu web-selaimiin tallennetuille salasanoille.
sqlextractor.exe	A työkalu vuorovaikutukseen SQL-tietokantojen kanssa ja tietojen poimimiseen niistä.
procdump64.exe	ProcDump, The  Sysinternalsin komentorivityökalu sovellusten valvontaan ja kaatumisvedosten luomiseen.

Erätiedostot

Ballistic Bobcat otti erätiedostot käyttöön uhrien järjestelmiin hetkiä ennen sponsorin takaoven käyttöönottoa. Tiedossamme olevat tiedostopolut ovat:

• C:inetpubwwwrootaspnet_clientInstall.bat
• %USERPROFILE%DesktopInstall.bat
• %WINDOWS%TasksInstall.bat

Valitettavasti emme pystyneet saamaan mitään näistä erätiedostoista. Uskomme kuitenkin, että he kirjoittavat harmittomia konfiguraatiotiedostoja levylle, joita sponsorin takaovi vaatii toimiakseen täysin. Nämä asetustiedostojen nimet on otettu sponsorin takaovista, mutta niitä ei koskaan kerätty:

• config.txt
• solmu.txt
• error.txt
• Uninstall.bat

Uskomme, että erätiedostot ja asetustiedostot ovat osa modulaarista kehitysprosessia, jota Ballistic Bobcat on suosinut muutaman viime vuoden aikana.

Sponsorin takaovi

Sponsorin takaovet on kirjoitettu C++-kielellä kääntämisen aikaleimoilla ja Program Database (PDB) -poluilla, kuten näkyy  REF _Ref112861527 h Pöytä 3
. Huomautus versionumeroista: sarake Versio edustaa versiota, jota seuraamme sisäisesti Sponsorin takaovien lineaarisen etenemisen perusteella, jossa muutoksia tehdään versiosta toiseen. The Sisäinen versio sarake sisältää kussakin sponsorin takaovessa havaitut versionumerot, ja ne on sisällytetty vertailun helpottamiseksi tutkittaessa näitä ja muita mahdollisia sponsorinäytteitä.

Pöytä 3. Sponsorin kokoamisen aikaleimat ja PDB:t

Versio	Sisäinen versio	Kokoonpanon aikaleima	ATE
1	1.0.0	2021-08-29 09:12:51	D:TempBD_Plus_SrvcReleaseBD_Plus_Srvc.pdb
2	1.0.0	2021-10-09 12:39:15	D:TempSponsorReleaseSponsor.pdb
3	1.4.0	2021-11-24 11:51:55	D:TempSponsorReleaseSponsor.pdb
4	2.1.1	2022-02-19 13:12:07	D:TempSponsorReleaseSponsor.pdb
5	1.2.3.0	2022-06-19 14:14:13	D: TempAluminaReleaseAlumina.pdb

Sponsorin ensimmäinen suoritus vaatii ajonaikaisen argumentin asentaa, jota ilman Sponsor poistuu sulavasti, todennäköisesti yksinkertainen anti-emulaatio/anti-hiekkalaatikkotekniikka. Jos tämä argumentti hyväksytään, sponsori luo palvelun nimeltä SystemNetwork (in v1) Ja Päivitykset (kaikissa muissa versioissa). Se määrittää palvelun Startup Type että automaattisesti, ja asettaa sen suorittamaan omaa sponsoriprosessiaan ja myöntää sille täyden käyttöoikeuden. Sitten se käynnistää palvelun.

Sponsori, joka toimii nyt palveluna, yrittää avata edellä mainitut kokoonpanotiedostot, jotka on aiemmin sijoitettu levylle. Se etsii config.txt ja solmu.txt, molemmat nykyisessä työhakemistossa. Jos ensimmäinen puuttuu, Sponsori asettaa palvelun Pysäytetty ja poistuu kauniisti.

Takaoven kokoonpano

Sponsorin määritykset, tallennettu config.txt, sisältää kaksi kenttää:

• Päivitysväli sekunneissa, jolloin ajoittain otetaan yhteyttä C&C-palvelimeen komentojen saamiseksi.
• Luettelo C&C-palvelimista, joita kutsutaan nimellä releet sponsorin binäärissä.

C&C-palvelimet tallennetaan salattuna (RC4), ja salauksenpurkuavain on ensimmäisellä rivillä. config.txt. Jokaisella kentällä, mukaan lukien salauksenpurkuavain, on esitetty muoto  REF _Ref142647636 h Kuva 3
.

Nämä alakentät ovat:

• config_start: osoittaa pituuden config_name, jos se on olemassa, tai nolla, jos ei. Takaoven käyttämä tietääkseen missä config_data käynnistyy.
• config_len: pituus config_data.
• config_name: valinnainen, sisältää määrityskenttään annetun nimen.
• config_data: itse kokoonpano, salattu (C&C-palvelimien tapauksessa) tai ei (kaikki muut kentät).

 REF _Ref142648473 h Kuva 4
näyttää esimerkin mahdollisen värikoodatun sisällön kanssa config.txt tiedosto. Huomaa, että tämä ei ole varsinainen havaitsemamme tiedosto, vaan keksitty esimerkki.

Kaksi viimeistä kenttää config.txt salataan RC4:llä käyttämällä määritetyn salauksenpurkuavaimen SHA-256-hajakoodin merkkijonoesitystä avaimena tietojen salaamiseen. Näemme, että salatut tavut tallennetaan hex-koodattuina ASCII-tekstinä.

Isäntätietojen kerääminen

Sponsori kerää tietoja isännästä, jolla se toimii, raportoi kaikki kerätyt tiedot C&C-palvelimelle ja vastaanottaa solmutunnuksen, joka kirjoitetaan solmu.txt.  REF _Ref142653641 h Pöytä 4
REF _Ref112861575 h
 luetteloi Windowsin rekisterin avaimet ja arvot, joita sponsori käyttää tietojen hankkimiseen, ja tarjoaa esimerkin kerätyistä tiedoista.

Taulukko 4. Sponsorin keräämät tiedot

Rekisteriavain	Arvo	esimerkki
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters	hostname	D-835MK12
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTimeZoneInformation	TimeZoneKeyName	Israelin normaaliaika
HKEY_USERS.DEFAULTControl PanelInternational	LocaleName	hän-IL
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSjärjestelmäBIOS	BaseBoardTuote	10NX0010IL
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessori	Prosessorin nimimerkkijono	Intel (R) Core (TM) i7-8565U-CPU @ 1.80GHz
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion	Tuotteen nimi	Windows 10 Enterprise N
	CurrentVersion	6.3
	CurrentBuildNumber	19044
	Asennustyyppi	Asiakas

Sponsori kerää myös isännän Windows-toimialueen käyttämällä seuraavaa Wmic komento:

wmic-tietokonejärjestelmä hanki verkkotunnus

Lopuksi Sponsori käyttää Windows-sovellusliittymiä kerätäkseen nykyisen käyttäjänimen (HankiKäyttäjänimiW), määrittää, onko nykyinen sponsoriprosessi käynnissä 32- vai 64-bittisenä sovelluksena (Hanki CurrentProcess, sitten IsWow64Process (nykyinen prosessi)) ja määrittää, toimiiko järjestelmä akkuvirralla vai onko se kytketty vaihto- tai tasavirtalähteeseen (Hanki SystemPowerStatus).

Yksi omituisuus 32- tai 64-bittisen sovelluksen tarkistuksessa on, että kaikki havaitut Sponsor-näytteet olivat 32-bittisiä. Tämä voi tarkoittaa, että jotkin seuraavan vaiheen työkalut vaativat nämä tiedot.

Kerätyt tiedot lähetetään base64-koodatussa viestissä, joka alkaa ennen koodausta r ja siinä on esitetty muoto  REF _Ref142655224 h Kuva 5
.

Tiedot salataan RC4:llä ja salausavain on paikan päällä generoitu satunnaisluku. Avain on hajautettu MD5-algoritmilla, ei SHA-256:lla, kuten aiemmin mainittiin. Tämä pätee kaikkeen viestintään, jossa sponsorin on lähetettävä salattuja tietoja.

C&C-palvelin vastaa numerolla, jota käytetään uhriksi joutuneen tietokoneen tunnistamiseen myöhemmässä viestinnässä, johon kirjoitetaan solmu.txt. Huomaa, että C&C-palvelin valitaan satunnaisesti luettelosta, kun r viesti lähetetään, ja samaa palvelinta käytetään kaikessa myöhemmässä viestinnässä.

Komentokäsittelysilmukka

Sponsori pyytää komentoja silmukassa lepotilassa määritellyn aikavälin mukaisesti config.txt. Vaiheet ovat:

1. Lähetä chk=Testi viestiä toistuvasti, kunnes C&C-palvelin vastaa Ok.
2. Lähetä c (IS_CMD_AVAIL) viestin C&C-palvelimelle ja vastaanottaa operaattorikomennon.
3. Käsittele komento.
   • Jos C&C-palvelimelle on lähetettävä tulos, lähetä an a (ACK) viesti, mukaan lukien tuloste (salattu), tai
   • Jos suoritus epäonnistui, lähetä f (FAILED) viesti. Virheilmoitusta ei lähetetä.
4. Nuku.

- c viesti lähetetään pyydettäessä suoritettavaa komentoa, ja sen muoto (ennen base64-koodausta) näkyy  REF _Ref142658017 h Kuva 6
.

- encrypted_none kuvassa oleva kenttä on tulos kovakoodatun merkkijonon salauksesta Ei eristetty RC4:n kanssa. Salauksen avain on MD5-tiiviste NODE.

URL-osoite, jota käytetään yhteydenottoon C&C-palvelimeen, on rakennettu seuraavasti: http://<IP_or_domain>:80. Tämä voi viitata siihen 37.120.222[.]168:80 on ainoa C&C-palvelin, jota käytettiin koko Sponsoring Access -kampanjan ajan, koska se oli ainoa IP-osoite, jonka havaitsimme uhrien koneiden tavoittavan portissa 80.

Käyttäjän komennot

Käyttäjäkomennot on rajattu sisään  REF _Ref112861551 h Pöytä 5
ja näkyvät siinä järjestyksessä, jossa ne löytyvät koodista. Yhteys C&C-palvelimen kanssa tapahtuu portin 80 kautta.

Taulukko 5. Käyttäjäkomennot ja kuvaukset

Komento	Kuvaus
p	Lähettää käynnissä olevan sponsoriprosessin prosessitunnuksen.
e	Suorittaa komennon seuraavassa lisäargumentissa määritetyllä tavalla sponsori-isännässä käyttämällä seuraavaa merkkijonoa: c:windowssystem32cmd.exe /c    > tulos.txt 2>&1 Tulokset tallennetaan tulos.txt nykyisessä työhakemistossa. Lähettää an a salatun lähdön sisältävä viesti C&C-palvelimelle, jos se on suoritettu onnistuneesti. Jos epäonnistuu, lähettää ilmoituksen f viesti (ilman virhettä).
d	Vastaanottaa tiedoston C&C-palvelimelta ja suorittaa sen. Tällä komennolla on monia argumentteja: kohdetiedoston nimi, johon tiedosto kirjoitetaan, tiedoston MD5-hajautusarvo, hakemisto, johon tiedosto kirjoitetaan (tai nykyinen työhakemisto oletusarvoisesti), Boolen arvo ilmaisemaan, suoritetaanko tiedosto tai ei, ja suoritettavan tiedoston sisältö base64-koodattuina. Jos virheitä ei tapahdu, an a viesti lähetetään C&C-palvelimelle Lataa ja suorita tiedosto onnistuneesti or Tiedoston lataaminen onnistui ilman suoritusta (salattu). Jos tiedoston suorittamisen aikana tapahtuu virheitä, an f viesti lähetetään. Jos tiedoston sisällön MD5-tiiviste ei vastaa toimitettua tiivistettä, an e (CRC_ERROR) -viesti lähetetään C&C-palvelimelle (sisältäen vain käytetyn salausavaimen, ei muita tietoja). Termin käyttö Lataa Tässä on mahdollisesti hämmentävää, koska Ballistic Bobcat -operaattorit ja koodaajat ottavat näkökulman palvelimen puolelta, kun taas monet saattavat nähdä tämän latauksena, joka perustuu tiedoston vetämiseen (eli lataamiseen) järjestelmän Sponsorin takaoven avulla.
u	Yrittää ladata tiedoston käyttämällä URLDownloadFileW Windows API ja suorita se. Menestys lähettää a viesti, jossa on käytetty salausavain, eikä muita tietoja. Epäonnistuminen lähettää an f samankaltaisen rakenteen omaava viesti.
s	Suorittaa levyllä jo olevan tiedoston, Uninstall.bat nykyisessä työhakemistossa, joka todennäköisesti sisältää komentoja takaoveen liittyvien tiedostojen poistamiseksi.
n	Operaattori voi antaa tämän komennon nimenomaisesti tai Sponsori voi päätellä sen komennona, joka suoritetaan ilman muuta komentoa. Sponsorissa viitataan nimellä NO_CMD, se suorittaa satunnaistetun lepotilan ennen kuin kirjautuu takaisin C&C-palvelimeen.
b	Päivittää luettelon tallennetuista C&C:istä config.txt nykyisessä työhakemistossa. Uudet C&C-osoitteet korvaavat aiemmat; niitä ei ole lisätty luetteloon. Se lähettää an a viesti kanssa Uudet releet vaihdettu onnistuneesti (salattu) C&C-palvelimelle, jos päivitys onnistui.
i	Päivittää kohdassa määritetyn ennalta määrätyn sisäänkirjautumisvälin config.txt. Se lähettää an a viesti kanssa Uusi intervalli vaihdettu onnistuneesti C&C-palvelimelle, jos päivitys onnistui.

Sponsorin päivitykset

Ballistic Bobcat -kooderit tekivät koodiversioita Sponsor v1:n ja v2:n välillä. Kaksi merkittävintä muutosta jälkimmäisessä ovat:

• Koodin optimointi, jossa useita pidempiä toimintoja minimoitiin funktioiksi ja alifunktioiksi, ja
• Sponsorin naamiointi päivitysohjelmaksi sisällyttämällä seuraavan viestin palvelun kokoonpanoon:

Sovelluspäivitykset ovat hienoja sekä sovellusten käyttäjille että sovelluksille – päivitykset tarkoittavat, että kehittäjät pyrkivät jatkuvasti parantamaan sovellusta pitäen mielessä paremman asiakaskokemuksen jokaisen päivityksen myötä.

Verkkoinfrastruktuuri

PowerLess-kampanjassa käytetyn C&C-infrastruktuurin säästötoimien lisäksi Ballistic Bobcat esitteli myös uuden C&C-palvelimen. Ryhmä käytti myös useita IP-osoitteita tukityökalujen tallentamiseen ja toimittamiseen Sponsoring Access -kampanjan aikana. Olemme vahvistaneet, että mikään näistä IP-osoitteista ei ole tällä hetkellä toiminnassa.

Yhteenveto

Ballistic Bobcat jatkaa toimintaansa scan-and-exploit-mallilla ja etsii mahdollisuuksien kohteita, joissa on korjaamattomia haavoittuvuuksia Internetissä olevissa Microsoft Exchange -palvelimissa. Ryhmä käyttää edelleen monipuolista avoimen lähdekoodin työkalusarjaa, jota on täydennetty useilla mukautetuilla sovelluksilla, mukaan lukien Sponsor-takaovi. Puolustajien olisi hyvä korjata kaikki Internetiin altistuvat laitteet ja pysyä valppaina organisaatioissaan ilmaantuvien uusien sovellusten varalta.

Jos sinulla on kysyttävää WeLiveSecurityssä julkaistusta tutkimuksestamme, ota meihin yhteyttä osoitteessa uhkaintel@eset.com.
ESET Research tarjoaa yksityisiä APT-tietoraportteja ja tietosyötteitä. Jos sinulla on kysyttävää tästä palvelusta, käy osoitteessa ESET Threat Intelligence sivu.

IoC: t

Asiakirjat

SHA-1	Tiedostonimi	Detection	Kuvaus
098B9A6CE722311553E1D8AC5849BA1DC5834C52	N / A	Win32/Agent.UXG	Ballistic Bobcat -takaovi, sponsori (v1).
5AEE3C957056A8640041ABC108D0B8A3D7A02EBD	N / A	Win32/Agent.UXG	Ballistic Bobcat -takaovi, sponsori (v2).
764EB6CA3752576C182FC19CFF3E86C38DD51475	N / A	Win32/Agent.UXG	Ballistic Bobcat -takaovi, sponsori (v3).
2F3EDA9D788A35F4C467B63860E73C3B010529CC	N / A	Win32/Agent.UXG	Ballistic Bobcat -takaovi, sponsori (v4).
E443DC53284537513C00818392E569C79328F56F	N / A	Win32/Agent.UXG	Ballistic Bobcat -takaovi, sponsori (v5, alias Alumina).
C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61	N / A	WinGo/Agent.BT	RevSocks peruutustunneli.
39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6	N / A	puhdas	ProcDump, komentorivityökalu sovellusten valvontaan ja kaatumisvedosten luomiseen.
A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A	N / A	Generik.EYWYQYF	Mimikatz.
5D60C8507AC9B840A13FFDF19E3315A3E14DE66A	N / A	WinGo/Riskware.Gost.D	GO Simple Tunnel (GOST).
50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617	N / A	WinGo/HackTool.Chisel.A	Taltta käänteinen tunneli.
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252	N / A	N / A	Host2IP-etsintätyökalu.
519CA93366F1B1D71052C6CE140F5C80CE885181	N / A	Win64/Packed.Enigma.BV	RevSocks-tunneli, suojattu Enigma Protector -ohjelmistosuojauksen kokeiluversiolla.
4709827C7A95012AB970BF651ED5183083366C79	N / A	N / A	Plink (PuTTY Link), komentoriviyhteystyökalu.
99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8	N / A	Win32/PSWTool.WebBrowserPassView.I	Salasanan palautustyökalu verkkoselaimiin tallennetuille salasanoille.
E52AA118A59502790A4DD6625854BD93C0DEAF27	N / A	MSIL/HackTool.SQLDump.A	Työkalu vuorovaikutukseen SQL-tietokantojen kanssa ja tietojen poimimiseen niistä.

 

Tiedoston polut

Seuraavassa on luettelo poluista, joilla Sponsorin takaovea käytettiin uhriksi joutuneissa koneissa.

%SYSTEMDRIVE%inetpubwwwrootaspnet_client

%USERPROFILE%AppDataLocalTempfile

%USERPROFILE%AppDataLocalTemp2low

%USERPROFILE%Työpöytä

%USERPROFILE%Lataukseta

% WINDIR%

%WINDIR%INFMSExchange-toimitus DSN

%WINDIR%Tehtävät

%WINDIR%Temp%WINDIR%Tempcrashpad1Files

verkko

IP	Tarjoaja	Ensimmäinen nähty	viimeksi nähty	Lisätiedot
162.55.137[.]20	Hetzner Online GMBH	2021-06-14	2021-06-15	Tehoton C&C.
37.120.222[.]168	M247 LTD	2021-11-28	2021-12-12	Sponsori C&C.
198.144.189[.]74	Colocrossing	2021-11-29	2021-11-29	Tukityökalujen lataussivusto.
5.255.97[.]172	Infrastructure Group BV	2021-09-05	2021-10-28	Tukityökalujen lataussivusto.

Tämä pöytä on rakennettu käyttämällä version 13 MITRE ATT&CK -kehyksestä.

Taktiikka	ID	Nimi	Kuvaus
Tiedustelu	T1595	Aktiivinen tarkistus: haavoittuvuuden tarkistus	Ballistic Bobcat etsii Microsoft Exchange -palvelinten haavoittuvia versioita hyödynnettäväksi.
Resurssien kehittäminen	T1587.001	Kehitysominaisuudet: Haittaohjelmat	Ballistic Bobcat suunnitteli ja koodasi Sponsorin takaoven.
	T1588.002	Hanki ominaisuudet: Työkalu	Ballistic Bobcat käyttää erilaisia ​​avoimen lähdekoodin työkaluja osana Sponsoring Access -kampanjaa.
Ensimmäinen käyttöoikeus	T1190	Hyödynnä julkista sovellusta	Ballistinen Bobcat tähtää internetissä  Microsoft Exchange -palvelimet.
Teloitus	T1059.003	Komento- ja komentosarjatulkki: Windowsin komentotulkki	Sponsorin takaovi käyttää Windows-komentokullia komentojen suorittamiseen uhrin järjestelmässä.
	T1569.002	Järjestelmäpalvelut: Palvelun suorittaminen	Sponsorin takaovi asettuu palveluksi ja käynnistää ensisijaiset toimintonsa palvelun suorittamisen jälkeen.
Sitkeys	T1543.003	Luo tai muokkaa järjestelmäprosessia: Windows Service	Sponsori ylläpitää pysyvyyttä luomalla automaattisesti käynnistyvän palvelun, joka suorittaa ensisijaiset toiminnonsa silmukassa.
Etuoikeuksien lisääntyminen	T1078.003	Kelvolliset tilit: Paikalliset tilit	Ballistic Bobcat -operaattorit yrittävät varastaa kelvollisten käyttäjien tunnistetiedot, kun he ovat ensin hyödyntäneet järjestelmää ennen sponsorin takaoven käyttöönottoa.
Puolustuksen kiertäminen	T1140	Poista tiedostojen tai tietojen salaus/dekoodaus	Sponsori tallentaa tiedot kiintolevylle, joka on salattu ja obfuskoitu, ja deobfuskoi ne ajon aikana.
	T1027	Hämmentyneet tiedostot tai tiedot	Sponsorin takaoven levylle vaatimat määritystiedostot on salattu ja obfuskoitu.
	T1078.003	Kelvolliset tilit: Paikalliset tilit	Sponsori suoritetaan järjestelmänvalvojan oikeuksilla, todennäköisesti käyttämällä valtuustietoja, jotka operaattorit löytävät levyltä; Ballistic Bobcatin vaarattomien nimeämiskäytäntöjen ohella tämä antaa sponsorille mahdollisuuden sulautua taustalle.
Kirjautumistietojen käyttö	T1555.003	Tunnustiedot salasanakaupoista: Kirjautumistiedot verkkoselaimista	Ballistic Bobcat -operaattorit käyttävät avoimen lähdekoodin työkaluja varastaakseen tunnistetietoja verkkoselaimien salasanavarastoista.
Löytö	T1018	Remote System Discovery	Ballistic Bobcat käyttää Agriuksen aiemmin käyttämää Host2IP-työkalua löytääkseen muita järjestelmiä tavoitettavissa olevista verkoista ja yhdistääkseen niiden isäntänimiä ja IP-osoitteita.
Command and Control	T1001	Tietojen hämärtäminen	Sponsorin takaovi hämärtää tiedot ennen sen lähettämistä C&C-palvelimelle.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. Autot / sähköautot, hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• ChartPrime. Nosta kaupankäyntipeliäsi ChartPrimen avulla. Pääsy tästä.
• BlockOffsets. Ympäristövastuun omistuksen nykyaikaistaminen. Pääsy tästä.
• Lähde: https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/