ESET-tutkijat löysivät Ballistic Bobcat -kampanjan, joka on kohdistettu eri tahoille Brasiliassa, Israelissa ja Yhdistyneissä arabiemiirikunnissa käyttämällä uutta takaovea, jonka olemme nimenneet Sponsoriksi.
Löysimme Sponsorin analysoituamme mielenkiintoisen näytteen, jonka havaitsimme uhrin järjestelmästä Israelissa toukokuussa 2022, ja arvioimme uhrin maittain. Tutkittuamme meille kävi selväksi, että näyte oli uusi Ballistic Bobcat APT -ryhmän käyttämä takaovi.
Ballistic Bobcat, jonka ESET Research on aiemmin seurannut nimellä APT35/APT42 (alias Charming Kitten, TA453 tai PHOSPHORUS), epäillään Iranin liittolainen kehittynyt jatkuva uhkaryhmä joka on suunnattu koulutus-, hallitus- ja terveydenhuoltojärjestöille sekä ihmisoikeusaktivisteille ja toimittajille. Se on aktiivisin Israelissa, Lähi-idässä ja Yhdysvalloissa. Pandemian aikana se kohdistui erityisesti COVID-19:ään liittyviin organisaatioihin, mukaan lukien Maailman terveysjärjestö ja Gilead Pharmaceuticals, sekä lääketieteen tutkimushenkilöstö.
Päällekkäisyydet Ballistic Bobcat -kampanjoiden välillä ja Sponsorin takaoven versiot osoittavat melko selkeän työkalun kehittämisen ja käyttöönoton mallin, ja niissä on tiukasti kohdennettuja kampanjoita, joiden kesto on rajoitettu. Myöhemmin löysimme neljä muuta versiota Sponsorin takaovesta. Näimme yhteensä Sponsorin lähetettävän vähintään 34 uhriin Brasiliassa, Israelissa ja Yhdistyneissä arabiemiirikunnissa, kuten REF _Ref143075975 h Kuva 1
.
Tämän blogikirjoituksen pääkohdat:
- Löysimme uuden Ballistic Bobcatin käyttöönoton takaoven, jonka myöhemmin nimesimme Sponsoriksi.
- Ballistic Bobcat otti uuden takaoven käyttöön syyskuussa 2021, samalla kun se päätti CISA Alert AA21-321A:ssa dokumentoitua kampanjaa ja PowerLess-kampanjaa.
- Sponsorin takaovi käyttää levylle tallennettuja asetustiedostoja. Nämä tiedostot otetaan huomaamattomasti käyttöön erätiedostoilla ja ne on tarkoituksella suunniteltu näyttämään harmittomilta, mikä yrittää välttää skannauskoneiden havaitsemisen.
- Sponsori lähetettiin ainakin 34 uhriin Brasiliassa, Israelissa ja Yhdistyneissä arabiemiirikunnissa; olemme nimenneet tämän toiminnon Sponsoring Access -kampanjaksi.
Alkuperäinen pääsy
Ballistic Bobcat sai alkupääsyn hyödyntämällä Internetissä näkyvien Microsoft Exchange -palvelimien tunnettuja haavoittuvuuksia suorittamalla ensin järjestelmän tai verkon perusteelliset tarkistukset mahdollisten heikkouksien tai haavoittuvuuksien tunnistamiseksi ja kohdistamalla sitten tunnistettuihin heikkouksiin ja hyödyntämällä niitä. Ryhmän on tiedetty harjoittaneen tätä toimintaa jo jonkin aikaa. Monia ESET-telemetriassa tunnistetuista 34 uhrista voidaan kuitenkin parhaiten kuvata mahdollisuuksien uhreiksi eikä ennalta valituiksi ja tutkituiksi uhreiksi, koska epäilemme Ballistic Bobcatin osallistuneen yllä kuvattuun skannaus- ja hyväksikäyttökäyttäytymiseen, koska se ei ollut ainoa uhka. toimija, jolla on pääsy näihin järjestelmiin. Olemme nimenneet tämän Sponsorin takaovea hyödyntävän Ballistic Bobcat -aktiviteetin Sponsoring Access -kampanjaksi.
Sponsorin takaovi käyttää levyllä olevia määritystiedostoja, jotka on jätetty pois erätiedostoista, ja molemmat ovat vaarattomia, jotta ne ohittavat tarkistuskoneet. Tätä modulaarista lähestymistapaa Ballistic Bobcat on käyttänyt melko usein ja vaatimattomalla menestyksellä viimeisen kahden ja puolen vuoden aikana. Vaarallisissa järjestelmissä Ballistic Bobcat jatkaa myös useiden avoimen lähdekoodin työkalujen käyttöä, joita kuvailemme – yhdessä Sponsorin takaoven kanssa – tässä blogikirjoituksessa.
victimology
Merkittävä enemmistö 34 uhrista sijaitsi Israelissa, ja vain kaksi muissa maissa:
- Brasiliassa lääketieteellisessä osuuskunnassa ja sairausvakuutusyhtiössä
- Yhdistyneet arabiemiirikunnat, tunnistamattomassa organisaatiossa.
REF _Ref112861418 h Pöytä 1
kuvailee Israelin uhrien vertikaaleja ja organisaation yksityiskohtia.
Pöytä SEQ-taulukko * ARABIA 1. Israelin uhrien vertikaaliset ja organisaatiotiedot
Pystysuora |
Lisätiedot |
Automotive |
· Autoalan yritys, joka on erikoistunut räätälöityihin muokkauksiin. · Autojen korjaus- ja huoltoyritys. |
Yhteydenpito |
· Israelilainen media. |
Tekniikka |
· Maa- ja vesirakennusalan yritys. · Ympäristöinsinööritoimisto. · Arkkitehtisuunnittelutoimisto. |
Rahoituspalvelut |
· Sijoitusneuvontaan erikoistunut rahoituspalveluyritys. · Rojalteja hallinnoiva yritys. |
Terveydenhuolto |
· Sairaanhoidon tarjoaja. |
Vakuutus |
· Vakuutusyhtiö, joka ylläpitää vakuutusmarkkinapaikkaa. · Kaupallinen vakuutusyhtiö. |
Laki |
· Lääketieteen lakiin erikoistunut yritys. |
valmistus |
· Useita elektroniikkaa valmistavia yrityksiä. · Yritys, joka valmistaa metallipohjaisia kaupallisia tuotteita. · Monikansallinen teknologiaa valmistava yritys. |
Vähittäiskaupan ja ravintola-alan konsultointi |
· Ruokakauppias. · Monikansallinen timanttien jälleenmyyjä. · Ihonhoitotuotteiden jälleenmyyjä. · Ikkunankäsittelyalan jälleenmyyjä ja asentaja. · Maailmanlaajuinen elektroniikkaosien toimittaja. · Fyysinen kulunvalvontatoimittaja. |
Elektroniikka |
· IT-palveluita tarjoava teknologiayritys. · IT-ratkaisujen toimittaja. |
Tietoliikenne |
· Tietoliikenneyritys. |
tunnistamaton |
· Useita tunnistamattomia organisaatioita. |
Nimeä
Elokuussa 2021 Ballistic Bobcat hyökkäsi työkaluilla Israelin uhrin, joka ylläpitää vakuutusmarkkinapaikkaa. CISA raportoi marraskuussa 2021. Havaitsemamme kompromissin indikaattorit ovat:
- MicrosoftOutlookUpdateSchedule,
- MicrosoftOutlookUpdateSchedule.xml,
- GoogleChangeManagementja
- GoogleChangeManagement.xml.
Ballistic Bobcat -työkalut kommunikoivat saman komento- ja ohjauspalvelimen (C&C) kanssa kuin CISA-raportissa: 162.55.137[.]20.
Sitten syyskuussa 2021 sama uhri sai seuraavan sukupolven Ballistic Bobcat -työkalut: Tehoton takaovi ja sitä tukeva työkalusarja. Havaitsemamme kompromissin indikaattorit olivat:
- http://162.55.137[.]20/gsdhdDdfgA5sS/ff/dll.dll,
- windowsprocesses.exeja
- http://162.55.137[.]20/gsdhdDdfgA5sS/ff/windowsprocesses.exe.
Marraskuun 18th, 2021, ryhmä otti sitten käyttöön toisen työkalun (Plink), jota käsiteltiin CISA-raportissa, as MicrosoftOutLookUpdater.exe. Kymmenen päivää myöhemmin, 28. marraskuutath, 2021, Ballistic Bobcat otti käyttöön Merlinin agentti (agentin osa an avoimen lähdekoodin hyödyntämisen jälkeinen C&C-palvelin ja Go:lla kirjoitettu agentti). Levyllä tämä Merlin-agentti nimettiin googleUpdate.exe, käyttämällä samaa nimeämiskäytäntöä kuin CISA-raportissa kuvattiin piiloutuakseen näkyville.
Merlin-agentti suoritti Meterpreter-käänteisen kuoren, joka kutsui takaisin uudelle C&C-palvelimelle, 37.120.222[.]168:80. Joulukuun 12. päivänäth, 2021, käänteinen kuori pudotti erätiedoston, install.bat, ja muutamassa minuutissa erätiedoston suorittamisen jälkeen Ballistic Bobcat -operaattorit työnsivät uusimman takaoven, Sponsorin. Tämä osoittautuisi takaoven kolmanneksi versioksi.
Tekninen analyysi
Alkuperäinen pääsy
Pystyimme tunnistamaan todennäköisen tavan päästä alkuun 23:lle niistä 34 uhrista, jotka havaitsimme ESET-telemetriassa. Samanlainen kuin mitä on raportoitu Voimaton ja CISA raporttien mukaan Ballistic Bobcat todennäköisesti käytti hyväkseen tunnettua haavoittuvuutta, CVE-2021-26855, Microsoft Exchange -palvelimissa saadakseen jalansijaa näissä järjestelmissä.
Näyttää siltä, että 16 34 uhrista Ballistic Bobcat ei ollut ainoa uhkatekijä, jolla oli pääsy heidän järjestelmiinsä. Tämä saattaa viitata uhrien laajan kirjon ja muutamien uhrien ilmeisen tiedusteluarvon puutteen lisäksi siihen, että Ballistic Bobcat harjoitti skannaus- ja hyväksikäyttökäyttäytymistä, toisin kuin kohdennettu kampanja ennalta valittuja uhreja vastaan.
työkalusarja
Avoimen lähdekoodin työkalut
Ballistic Bobcat käytti useita avoimen lähdekoodin työkaluja Sponsoring Access -kampanjan aikana. Nämä työkalut ja niiden toiminnot on lueteltu kohdassa REF _Ref112861458 h Pöytä 2
.
Pöytä SEQ-taulukko * ARABIA 2. Ballistic Bobcatin käyttämät avoimen lähdekoodin työkalut
Tiedostonimi |
Kuvaus |
host2ip.exe
|
Kartat a isäntänimi IP-osoitteeseen paikallisen verkon sisällä. |
Csrss.exe
|
RevSocks, käänteinen tunnelisovellus. |
mi.exe
|
Mimikatz, alkuperäisellä tiedostonimellä midongle.exe ja täynnä Armadillo PE-pakkaus. |
gost.exe
|
GO Simple Tunnel (GOST), Go-kielellä kirjoitettu tunnelointisovellus. |
chisel.exe
|
Taltta, TCP/UDP-tunneli HTTP:n yli käyttäen SSH-kerroksia. |
csrss_protected.exe
|
RevSocks-tunneli, suojattu kokeiluversiolla Enigma Protector ohjelmistosuojaus. |
plink.exe
|
Plink (PuTTY Link), komentoriviyhteystyökalu. |
WebBrowserPassView.exe
|
A salasanan palautustyökalu web-selaimiin tallennetuille salasanoille.
|
sqlextractor.exe
|
A työkalu vuorovaikutukseen SQL-tietokantojen kanssa ja tietojen poimimiseen niistä. |
procdump64.exe
|
ProcDump, The Sysinternalsin komentorivityökalu sovellusten valvontaan ja kaatumisvedosten luomiseen. |
Erätiedostot
Ballistic Bobcat otti erätiedostot käyttöön uhrien järjestelmiin hetkiä ennen sponsorin takaoven käyttöönottoa. Tiedossamme olevat tiedostopolut ovat:
- C:inetpubwwwrootaspnet_clientInstall.bat
- %USERPROFILE%DesktopInstall.bat
- %WINDOWS%TasksInstall.bat
Valitettavasti emme pystyneet saamaan mitään näistä erätiedostoista. Uskomme kuitenkin, että he kirjoittavat harmittomia konfiguraatiotiedostoja levylle, joita sponsorin takaovi vaatii toimiakseen täysin. Nämä asetustiedostojen nimet on otettu sponsorin takaovista, mutta niitä ei koskaan kerätty:
- config.txt
- solmu.txt
- error.txt
- Uninstall.bat
Uskomme, että erätiedostot ja asetustiedostot ovat osa modulaarista kehitysprosessia, jota Ballistic Bobcat on suosinut muutaman viime vuoden aikana.
Sponsorin takaovi
Sponsorin takaovet on kirjoitettu C++-kielellä kääntämisen aikaleimoilla ja Program Database (PDB) -poluilla, kuten näkyy REF _Ref112861527 h Pöytä 3
. Huomautus versionumeroista: sarake Versio edustaa versiota, jota seuraamme sisäisesti Sponsorin takaovien lineaarisen etenemisen perusteella, jossa muutoksia tehdään versiosta toiseen. The Sisäinen versio sarake sisältää kussakin sponsorin takaovessa havaitut versionumerot, ja ne on sisällytetty vertailun helpottamiseksi tutkittaessa näitä ja muita mahdollisia sponsorinäytteitä.
Pöytä 3. Sponsorin kokoamisen aikaleimat ja PDB:t
Versio |
Sisäinen versio |
Kokoonpanon aikaleima |
ATE |
1 |
1.0.0 |
2021-08-29 09:12:51 |
D:TempBD_Plus_SrvcReleaseBD_Plus_Srvc.pdb |
2 |
1.0.0 |
2021-10-09 12:39:15 |
D:TempSponsorReleaseSponsor.pdb |
3 |
1.4.0 |
2021-11-24 11:51:55 |
D:TempSponsorReleaseSponsor.pdb |
4 |
2.1.1 |
2022-02-19 13:12:07 |
D:TempSponsorReleaseSponsor.pdb |
5 |
1.2.3.0 |
2022-06-19 14:14:13 |
D: TempAluminaReleaseAlumina.pdb |
Sponsorin ensimmäinen suoritus vaatii ajonaikaisen argumentin asentaa, jota ilman Sponsor poistuu sulavasti, todennäköisesti yksinkertainen anti-emulaatio/anti-hiekkalaatikkotekniikka. Jos tämä argumentti hyväksytään, sponsori luo palvelun nimeltä SystemNetwork (in v1) Ja Päivitykset (kaikissa muissa versioissa). Se määrittää palvelun Startup Type että automaattisesti, ja asettaa sen suorittamaan omaa sponsoriprosessiaan ja myöntää sille täyden käyttöoikeuden. Sitten se käynnistää palvelun.
Sponsori, joka toimii nyt palveluna, yrittää avata edellä mainitut kokoonpanotiedostot, jotka on aiemmin sijoitettu levylle. Se etsii config.txt ja solmu.txt, molemmat nykyisessä työhakemistossa. Jos ensimmäinen puuttuu, Sponsori asettaa palvelun Pysäytetty ja poistuu kauniisti.
Takaoven kokoonpano
Sponsorin määritykset, tallennettu config.txt, sisältää kaksi kenttää:
- Päivitysväli sekunneissa, jolloin ajoittain otetaan yhteyttä C&C-palvelimeen komentojen saamiseksi.
- Luettelo C&C-palvelimista, joita kutsutaan nimellä releet sponsorin binäärissä.
C&C-palvelimet tallennetaan salattuna (RC4), ja salauksenpurkuavain on ensimmäisellä rivillä. config.txt. Jokaisella kentällä, mukaan lukien salauksenpurkuavain, on esitetty muoto REF _Ref142647636 h Kuva 3
.
Nämä alakentät ovat:
- config_start: osoittaa pituuden config_name, jos se on olemassa, tai nolla, jos ei. Takaoven käyttämä tietääkseen missä config_data käynnistyy.
- config_len: pituus config_data.
- config_name: valinnainen, sisältää määrityskenttään annetun nimen.
- config_data: itse kokoonpano, salattu (C&C-palvelimien tapauksessa) tai ei (kaikki muut kentät).
REF _Ref142648473 h Kuva 4
näyttää esimerkin mahdollisen värikoodatun sisällön kanssa config.txt tiedosto. Huomaa, että tämä ei ole varsinainen havaitsemamme tiedosto, vaan keksitty esimerkki.
Kaksi viimeistä kenttää config.txt salataan RC4:llä käyttämällä määritetyn salauksenpurkuavaimen SHA-256-hajakoodin merkkijonoesitystä avaimena tietojen salaamiseen. Näemme, että salatut tavut tallennetaan hex-koodattuina ASCII-tekstinä.
Isäntätietojen kerääminen
Sponsori kerää tietoja isännästä, jolla se toimii, raportoi kaikki kerätyt tiedot C&C-palvelimelle ja vastaanottaa solmutunnuksen, joka kirjoitetaan solmu.txt. REF _Ref142653641 h Pöytä 4
REF _Ref112861575 h
luetteloi Windowsin rekisterin avaimet ja arvot, joita sponsori käyttää tietojen hankkimiseen, ja tarjoaa esimerkin kerätyistä tiedoista.
Taulukko 4. Sponsorin keräämät tiedot
Rekisteriavain |
Arvo |
esimerkki |
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
|
hostname
|
D-835MK12
|
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTimeZoneInformation
|
TimeZoneKeyName
|
Israelin normaaliaika
|
HKEY_USERS.DEFAULTControl PanelInternational
|
LocaleName
|
hän-IL
|
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSjärjestelmäBIOS
|
BaseBoardTuote
|
10NX0010IL
|
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessori
|
Prosessorin nimimerkkijono
|
Intel (R) Core (TM) i7-8565U-CPU @ 1.80GHz
|
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion
|
Tuotteen nimi
|
Windows 10 Enterprise N
|
CurrentVersion
|
6.3
|
|
CurrentBuildNumber
|
19044
|
|
Asennustyyppi
|
Asiakas
|
Sponsori kerää myös isännän Windows-toimialueen käyttämällä seuraavaa Wmic komento:
wmic-tietokonejärjestelmä hanki verkkotunnus
Lopuksi Sponsori käyttää Windows-sovellusliittymiä kerätäkseen nykyisen käyttäjänimen (HankiKäyttäjänimiW), määrittää, onko nykyinen sponsoriprosessi käynnissä 32- vai 64-bittisenä sovelluksena (Hanki CurrentProcess, sitten IsWow64Process (nykyinen prosessi)) ja määrittää, toimiiko järjestelmä akkuvirralla vai onko se kytketty vaihto- tai tasavirtalähteeseen (Hanki SystemPowerStatus).
Yksi omituisuus 32- tai 64-bittisen sovelluksen tarkistuksessa on, että kaikki havaitut Sponsor-näytteet olivat 32-bittisiä. Tämä voi tarkoittaa, että jotkin seuraavan vaiheen työkalut vaativat nämä tiedot.
Kerätyt tiedot lähetetään base64-koodatussa viestissä, joka alkaa ennen koodausta r ja siinä on esitetty muoto REF _Ref142655224 h Kuva 5
.
Tiedot salataan RC4:llä ja salausavain on paikan päällä generoitu satunnaisluku. Avain on hajautettu MD5-algoritmilla, ei SHA-256:lla, kuten aiemmin mainittiin. Tämä pätee kaikkeen viestintään, jossa sponsorin on lähetettävä salattuja tietoja.
C&C-palvelin vastaa numerolla, jota käytetään uhriksi joutuneen tietokoneen tunnistamiseen myöhemmässä viestinnässä, johon kirjoitetaan solmu.txt. Huomaa, että C&C-palvelin valitaan satunnaisesti luettelosta, kun r viesti lähetetään, ja samaa palvelinta käytetään kaikessa myöhemmässä viestinnässä.
Komentokäsittelysilmukka
Sponsori pyytää komentoja silmukassa lepotilassa määritellyn aikavälin mukaisesti config.txt. Vaiheet ovat:
- Lähetä chk=Testi viestiä toistuvasti, kunnes C&C-palvelin vastaa Ok.
- Lähetä c (IS_CMD_AVAIL) viestin C&C-palvelimelle ja vastaanottaa operaattorikomennon.
- Käsittele komento.
- Jos C&C-palvelimelle on lähetettävä tulos, lähetä an a (ACK) viesti, mukaan lukien tuloste (salattu), tai
- Jos suoritus epäonnistui, lähetä f
(
FAILED) viesti. Virheilmoitusta ei lähetetä.
- Nuku.
- c viesti lähetetään pyydettäessä suoritettavaa komentoa, ja sen muoto (ennen base64-koodausta) näkyy REF _Ref142658017 h Kuva 6
.
- encrypted_none kuvassa oleva kenttä on tulos kovakoodatun merkkijonon salauksesta Ei eristetty RC4:n kanssa. Salauksen avain on MD5-tiiviste NODE.
URL-osoite, jota käytetään yhteydenottoon C&C-palvelimeen, on rakennettu seuraavasti: http://<IP_or_domain>:80. Tämä voi viitata siihen 37.120.222[.]168:80 on ainoa C&C-palvelin, jota käytettiin koko Sponsoring Access -kampanjan ajan, koska se oli ainoa IP-osoite, jonka havaitsimme uhrien koneiden tavoittavan portissa 80.
Käyttäjän komennot
Käyttäjäkomennot on rajattu sisään REF _Ref112861551 h Pöytä 5
ja näkyvät siinä järjestyksessä, jossa ne löytyvät koodista. Yhteys C&C-palvelimen kanssa tapahtuu portin 80 kautta.
Taulukko 5. Käyttäjäkomennot ja kuvaukset
Komento |
Kuvaus |
p |
Lähettää käynnissä olevan sponsoriprosessin prosessitunnuksen. |
e |
Suorittaa komennon seuraavassa lisäargumentissa määritetyllä tavalla sponsori-isännässä käyttämällä seuraavaa merkkijonoa: c:windowssystem32cmd.exe /c > tulos.txt 2>&1 Tulokset tallennetaan tulos.txt nykyisessä työhakemistossa. Lähettää an a salatun lähdön sisältävä viesti C&C-palvelimelle, jos se on suoritettu onnistuneesti. Jos epäonnistuu, lähettää ilmoituksen f viesti (ilman virhettä). |
d |
Vastaanottaa tiedoston C&C-palvelimelta ja suorittaa sen. Tällä komennolla on monia argumentteja: kohdetiedoston nimi, johon tiedosto kirjoitetaan, tiedoston MD5-hajautusarvo, hakemisto, johon tiedosto kirjoitetaan (tai nykyinen työhakemisto oletusarvoisesti), Boolen arvo ilmaisemaan, suoritetaanko tiedosto tai ei, ja suoritettavan tiedoston sisältö base64-koodattuina. Jos virheitä ei tapahdu, an a viesti lähetetään C&C-palvelimelle Lataa ja suorita tiedosto onnistuneesti or Tiedoston lataaminen onnistui ilman suoritusta (salattu). Jos tiedoston suorittamisen aikana tapahtuu virheitä, an f viesti lähetetään. Jos tiedoston sisällön MD5-tiiviste ei vastaa toimitettua tiivistettä, an e (CRC_ERROR) -viesti lähetetään C&C-palvelimelle (sisältäen vain käytetyn salausavaimen, ei muita tietoja). Termin käyttö Lataa Tässä on mahdollisesti hämmentävää, koska Ballistic Bobcat -operaattorit ja koodaajat ottavat näkökulman palvelimen puolelta, kun taas monet saattavat nähdä tämän latauksena, joka perustuu tiedoston vetämiseen (eli lataamiseen) järjestelmän Sponsorin takaoven avulla. |
u |
Yrittää ladata tiedoston käyttämällä URLDownloadFileW Windows API ja suorita se. Menestys lähettää a viesti, jossa on käytetty salausavain, eikä muita tietoja. Epäonnistuminen lähettää an f samankaltaisen rakenteen omaava viesti. |
s |
Suorittaa levyllä jo olevan tiedoston, Uninstall.bat nykyisessä työhakemistossa, joka todennäköisesti sisältää komentoja takaoveen liittyvien tiedostojen poistamiseksi. |
n |
Operaattori voi antaa tämän komennon nimenomaisesti tai Sponsori voi päätellä sen komennona, joka suoritetaan ilman muuta komentoa. Sponsorissa viitataan nimellä NO_CMD, se suorittaa satunnaistetun lepotilan ennen kuin kirjautuu takaisin C&C-palvelimeen. |
b |
Päivittää luettelon tallennetuista C&C:istä config.txt nykyisessä työhakemistossa. Uudet C&C-osoitteet korvaavat aiemmat; niitä ei ole lisätty luetteloon. Se lähettää an a viesti kanssa |
i |
Päivittää kohdassa määritetyn ennalta määrätyn sisäänkirjautumisvälin config.txt. Se lähettää an a viesti kanssa Uusi intervalli vaihdettu onnistuneesti C&C-palvelimelle, jos päivitys onnistui. |
Sponsorin päivitykset
Ballistic Bobcat -kooderit tekivät koodiversioita Sponsor v1:n ja v2:n välillä. Kaksi merkittävintä muutosta jälkimmäisessä ovat:
- Koodin optimointi, jossa useita pidempiä toimintoja minimoitiin funktioiksi ja alifunktioiksi, ja
- Sponsorin naamiointi päivitysohjelmaksi sisällyttämällä seuraavan viestin palvelun kokoonpanoon:
Sovelluspäivitykset ovat hienoja sekä sovellusten käyttäjille että sovelluksille – päivitykset tarkoittavat, että kehittäjät pyrkivät jatkuvasti parantamaan sovellusta pitäen mielessä paremman asiakaskokemuksen jokaisen päivityksen myötä.
Verkkoinfrastruktuuri
PowerLess-kampanjassa käytetyn C&C-infrastruktuurin säästötoimien lisäksi Ballistic Bobcat esitteli myös uuden C&C-palvelimen. Ryhmä käytti myös useita IP-osoitteita tukityökalujen tallentamiseen ja toimittamiseen Sponsoring Access -kampanjan aikana. Olemme vahvistaneet, että mikään näistä IP-osoitteista ei ole tällä hetkellä toiminnassa.
Yhteenveto
Ballistic Bobcat jatkaa toimintaansa scan-and-exploit-mallilla ja etsii mahdollisuuksien kohteita, joissa on korjaamattomia haavoittuvuuksia Internetissä olevissa Microsoft Exchange -palvelimissa. Ryhmä käyttää edelleen monipuolista avoimen lähdekoodin työkalusarjaa, jota on täydennetty useilla mukautetuilla sovelluksilla, mukaan lukien Sponsor-takaovi. Puolustajien olisi hyvä korjata kaikki Internetiin altistuvat laitteet ja pysyä valppaina organisaatioissaan ilmaantuvien uusien sovellusten varalta.
Jos sinulla on kysyttävää WeLiveSecurityssä julkaistusta tutkimuksestamme, ota meihin yhteyttä osoitteessa uhkaintel@eset.com.
ESET Research tarjoaa yksityisiä APT-tietoraportteja ja tietosyötteitä. Jos sinulla on kysyttävää tästä palvelusta, käy osoitteessa ESET Threat Intelligence sivu.
IoC: t
Asiakirjat
SHA-1 |
Tiedostonimi |
Detection |
Kuvaus |
098B9A6CE722311553E1D8AC5849BA1DC5834C52
|
N / A |
Win32/Agent.UXG |
Ballistic Bobcat -takaovi, sponsori (v1). |
5AEE3C957056A8640041ABC108D0B8A3D7A02EBD
|
N / A |
Win32/Agent.UXG |
Ballistic Bobcat -takaovi, sponsori (v2). |
764EB6CA3752576C182FC19CFF3E86C38DD51475
|
N / A |
Win32/Agent.UXG |
Ballistic Bobcat -takaovi, sponsori (v3). |
2F3EDA9D788A35F4C467B63860E73C3B010529CC
|
N / A |
Win32/Agent.UXG |
Ballistic Bobcat -takaovi, sponsori (v4). |
E443DC53284537513C00818392E569C79328F56F
|
N / A |
Win32/Agent.UXG |
Ballistic Bobcat -takaovi, sponsori (v5, alias Alumina). |
C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61
|
N / A |
WinGo/Agent.BT |
RevSocks peruutustunneli. |
39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6
|
N / A |
puhdas |
ProcDump, komentorivityökalu sovellusten valvontaan ja kaatumisvedosten luomiseen. |
A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A
|
N / A |
Generik.EYWYQYF |
Mimikatz. |
5D60C8507AC9B840A13FFDF19E3315A3E14DE66A
|
N / A |
WinGo/Riskware.Gost.D |
GO Simple Tunnel (GOST). |
50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617
|
N / A |
WinGo/HackTool.Chisel.A |
Taltta käänteinen tunneli. |
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252
|
N / A |
N / A |
Host2IP-etsintätyökalu. |
519CA93366F1B1D71052C6CE140F5C80CE885181
|
N / A |
Win64/Packed.Enigma.BV |
RevSocks-tunneli, suojattu Enigma Protector -ohjelmistosuojauksen kokeiluversiolla. |
4709827C7A95012AB970BF651ED5183083366C79
|
N / A |
N / A |
Plink (PuTTY Link), komentoriviyhteystyökalu. |
99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8
|
N / A |
Win32/PSWTool.WebBrowserPassView.I |
Salasanan palautustyökalu verkkoselaimiin tallennetuille salasanoille. |
E52AA118A59502790A4DD6625854BD93C0DEAF27
|
N / A |
MSIL/HackTool.SQLDump.A |
Työkalu vuorovaikutukseen SQL-tietokantojen kanssa ja tietojen poimimiseen niistä. |
Tiedoston polut
Seuraavassa on luettelo poluista, joilla Sponsorin takaovea käytettiin uhriksi joutuneissa koneissa.
%SYSTEMDRIVE%inetpubwwwrootaspnet_client
%USERPROFILE%AppDataLocalTempfile
%USERPROFILE%AppDataLocalTemp2low
%USERPROFILE%Työpöytä
%USERPROFILE%Lataukseta
% WINDIR%
%WINDIR%INFMSExchange-toimitus DSN
%WINDIR%Tehtävät
%WINDIR%Temp%WINDIR%Tempcrashpad1Files
verkko
IP
Tarjoaja
Ensimmäinen nähty
viimeksi nähty
Lisätiedot
162.55.137[.]20
Hetzner Online GMBH
2021-06-14
2021-06-15
Tehoton C&C.
37.120.222[.]168
M247 LTD
2021-11-28
2021-12-12
Sponsori C&C.
198.144.189[.]74
Colocrossing
2021-11-29
2021-11-29
Tukityökalujen lataussivusto.
5.255.97[.]172
Infrastructure Group BV
2021-09-05
2021-10-28
Tukityökalujen lataussivusto.
IP
Tarjoaja
Ensimmäinen nähty
viimeksi nähty
Lisätiedot
162.55.137[.]20
Hetzner Online GMBH
2021-06-14
2021-06-15
Tehoton C&C.
37.120.222[.]168
M247 LTD
2021-11-28
2021-12-12
Sponsori C&C.
198.144.189[.]74
Colocrossing
2021-11-29
2021-11-29
Tukityökalujen lataussivusto.
5.255.97[.]172
Infrastructure Group BV
2021-09-05
2021-10-28
Tukityökalujen lataussivusto.
Tämä pöytä on rakennettu käyttämällä version 13 MITRE ATT&CK -kehyksestä.
Taktiikka |
ID |
Nimi |
Kuvaus |
Tiedustelu |
Aktiivinen tarkistus: haavoittuvuuden tarkistus |
Ballistic Bobcat etsii Microsoft Exchange -palvelinten haavoittuvia versioita hyödynnettäväksi. |
|
Resurssien kehittäminen |
Kehitysominaisuudet: Haittaohjelmat |
Ballistic Bobcat suunnitteli ja koodasi Sponsorin takaoven. |
|
Hanki ominaisuudet: Työkalu |
Ballistic Bobcat käyttää erilaisia avoimen lähdekoodin työkaluja osana Sponsoring Access -kampanjaa. |
||
Ensimmäinen käyttöoikeus |
Hyödynnä julkista sovellusta |
Ballistinen Bobcat tähtää internetissä Microsoft Exchange -palvelimet. |
|
Teloitus |
Komento- ja komentosarjatulkki: Windowsin komentotulkki |
Sponsorin takaovi käyttää Windows-komentokullia komentojen suorittamiseen uhrin järjestelmässä. |
|
Järjestelmäpalvelut: Palvelun suorittaminen |
Sponsorin takaovi asettuu palveluksi ja käynnistää ensisijaiset toimintonsa palvelun suorittamisen jälkeen. |
||
Sitkeys |
Luo tai muokkaa järjestelmäprosessia: Windows Service |
Sponsori ylläpitää pysyvyyttä luomalla automaattisesti käynnistyvän palvelun, joka suorittaa ensisijaiset toiminnonsa silmukassa. |
|
Etuoikeuksien lisääntyminen |
Kelvolliset tilit: Paikalliset tilit |
Ballistic Bobcat -operaattorit yrittävät varastaa kelvollisten käyttäjien tunnistetiedot, kun he ovat ensin hyödyntäneet järjestelmää ennen sponsorin takaoven käyttöönottoa. |
|
Puolustuksen kiertäminen |
Poista tiedostojen tai tietojen salaus/dekoodaus |
Sponsori tallentaa tiedot kiintolevylle, joka on salattu ja obfuskoitu, ja deobfuskoi ne ajon aikana. |
|
Hämmentyneet tiedostot tai tiedot |
Sponsorin takaoven levylle vaatimat määritystiedostot on salattu ja obfuskoitu. |
||
Kelvolliset tilit: Paikalliset tilit |
Sponsori suoritetaan järjestelmänvalvojan oikeuksilla, todennäköisesti käyttämällä valtuustietoja, jotka operaattorit löytävät levyltä; Ballistic Bobcatin vaarattomien nimeämiskäytäntöjen ohella tämä antaa sponsorille mahdollisuuden sulautua taustalle. |
||
Kirjautumistietojen käyttö |
Tunnustiedot salasanakaupoista: Kirjautumistiedot verkkoselaimista |
Ballistic Bobcat -operaattorit käyttävät avoimen lähdekoodin työkaluja varastaakseen tunnistetietoja verkkoselaimien salasanavarastoista. |
|
Löytö |
Remote System Discovery |
Ballistic Bobcat käyttää Agriuksen aiemmin käyttämää Host2IP-työkalua löytääkseen muita järjestelmiä tavoitettavissa olevista verkoista ja yhdistääkseen niiden isäntänimiä ja IP-osoitteita. |
|
Command and Control |
Tietojen hämärtäminen |
Sponsorin takaovi hämärtää tiedot ennen sen lähettämistä C&C-palvelimelle. |
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. Autot / sähköautot, hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- ChartPrime. Nosta kaupankäyntipeliäsi ChartPrimen avulla. Pääsy tästä.
- BlockOffsets. Ympäristövastuun omistuksen nykyaikaistaminen. Pääsy tästä.
- Lähde: https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/
- :on
- :On
- :ei
- :missä
- $ YLÖS
- 09
- 1
- 10
- 11
- 12
- 13
- 14
- 15%
- 150
- 16
- 179
- 20
- 2021
- 2022
- 23
- 24
- 25
- 31
- 39
- 51
- 60
- 7
- 8
- 80
- 9
- a
- pystyy
- Meistä
- edellä
- AC
- pääsy
- Mukaan
- Tilit
- aktiivinen
- aktivistit
- toiminta
- todellinen
- lisä-
- Lisäksi
- lisä-
- osoite
- osoitteet
- admin
- kehittynyt
- Jälkeen
- vastaan
- Agentti
- alias
- Hälytys
- algoritmi
- Kaikki
- mahdollistaa
- pitkin
- jo
- Myös
- aina
- an
- analysoidaan
- ja
- Toinen
- Kaikki
- api
- API
- sovelluksen
- näennäinen
- näyttää
- näyttää
- Hakemus
- sovellukset
- lähestymistapa
- sovellukset
- APT
- arabi
- Arabiemiirikunnat
- arabialainen
- arkkitehtuurin
- OVAT
- perustelu
- perustelut
- AS
- kysyä
- At
- yrittää
- yrityksiä
- Elokuu
- automaattisesti
- Automotive
- tietoinen
- takaisin
- takaoven
- Takaportteja
- tausta
- perustua
- akku
- BE
- tuli
- koska
- ollut
- ennen
- käyttäytyminen
- Uskoa
- PARAS
- Paremmin
- välillä
- Sekoitus
- sekä
- Brasilia
- selaimet
- rakennettu
- mutta
- by
- C + +
- nimeltään
- Kampanja
- Kampanjat
- CAN
- kyvyt
- joka
- tapaus
- keskus
- Muutokset
- tarkastaa
- tarkkailun
- valittu
- siviili-
- selkeä
- koodi
- koodattu
- kerätä
- Sarake
- KOM
- kaupallinen
- Viestintä
- Yhteydenpito
- Yritykset
- yritys
- vertailu
- kompromissi
- Vaarantunut
- tietokone
- johtavat
- Konfigurointi
- CONFIRMED
- hämmentävä
- kytketty
- liitäntä
- ottaa yhteyttä
- sisältää
- sisältö
- jatkuu
- ohjaus
- Sopimus
- osuuskunta
- voisi
- maahan
- maa
- katettu
- Crash
- luo
- Luominen
- Valtakirja
- Nykyinen
- asiakassuhde
- asiakas
- asiakaskokemus
- tiedot
- tietokanta
- tietokannat
- päivää
- dc
- joulukuu
- oletusarvo
- Puolustajat
- määritelty
- toimittaa
- toimitus
- käyttöön
- levityspinnalta
- käyttöönotto
- kuvata
- on kuvattu
- Malli
- suunniteltu
- yksityiskohdat
- havaittu
- Detection
- Määrittää
- määrittää
- kehittäjille
- Kehitys
- Laitteet
- Diamond
- löytää
- löysi
- löytö
- jakelu
- useat
- ei
- verkkotunnuksen
- download
- putosi
- kesto
- aikana
- e
- kukin
- helpottaa
- Itään
- koulutus
- Elektroninen
- Elektroniikka
- Emirates
- Työllisiä
- salattu
- salaus
- sitoutua
- kihloissa
- Tekniikka
- Moottorit
- Arvoitus
- yritys
- yksiköt
- ympäristön
- virhe
- virheet
- ESET-tutkimus
- ilmeinen
- tutkii
- esimerkki
- Vaihdetaan
- suorittaa
- teloitettiin
- toteuttaja
- täytäntöönpanosta
- teloitus
- uloskäynnit
- experience
- Käyttää hyväkseen
- hyödynnetään
- hyödyntäminen
- Epäonnistui
- Epäonnistuminen
- melko
- harvat
- ala
- Fields
- Kuva
- filee
- Asiakirjat
- taloudellinen
- rahoituspalvelut
- rahoituspalveluyritys
- Yritys
- Etunimi
- jälkeen
- ruoka
- varten
- muoto
- löytyi
- neljä
- alkaen
- koko
- täysin
- toiminto
- tehtävät
- Saada
- kokosi
- syntyy
- tuottaa
- sukupolvi
- maantieteellinen
- saada
- tietty
- Global
- Go
- Hallitus
- avustukset
- suuri
- Ryhmä
- Puoli
- hasis
- hajautettu
- Olla
- terveys
- sairausvakuutus
- terveydenhuollon
- tätä
- Piilottaa
- isäntä
- Kuitenkin
- HTML
- http
- HTTPS
- ihmisen
- ihmisoikeudet
- i
- ID
- tunnistettu
- tunnistaa
- if
- kuva
- parantaminen
- in
- Muilla
- mukana
- Mukaan lukien
- osoittaa
- ilmaisee
- indikaattorit
- tiedot
- Infrastruktuuri
- ensimmäinen
- ensin
- Osaa aloittaa
- Kyselyt
- sisällä
- vakuutus
- Älykkyys
- vuorovaikutuksessa
- mielenkiintoinen
- sisäisesti
- tulee
- käyttöön
- investointi
- IP
- IP-osoite
- IP-osoitteita
- Israel
- IT
- SEN
- itse
- journalistit
- pito
- avain
- avaimet
- Tietää
- tunnettu
- Lack
- Sukunimi
- myöhemmin
- Laki
- kerrokset
- vähiten
- Pituus
- Todennäköisesti
- rajallinen
- linja
- LINK
- Lista
- lueteltu
- paikallinen
- sijaitsevat
- kauemmin
- näköinen
- ulkonäkö
- Koneet
- tehty
- ylläpitää
- huolto
- Enemmistö
- hallinnoi
- valmistus
- monet
- markkinat
- ottelu
- Saattaa..
- MD5
- tarkoittaa
- välineet
- Media
- lääketieteellinen
- lääketieteellistä hoitoa
- lääketieteellinen tutkimus
- mainitsi
- viesti
- huolellinen
- Microsoft
- Keskimmäinen
- Lähi-itä
- ehkä
- mielessä
- minuuttia
- puuttuva
- malli
- vaatimaton
- Muutokset
- muokata
- modulaarinen
- Moments
- seuranta
- eniten
- monikansallinen
- moninkertainen
- nimi
- nimetty
- nimeäminen
- verkko
- verkot
- ei ikinä
- Uusi
- Uusimmat
- seuraava
- Nro
- solmu
- Ei eristetty
- etenkin
- romaani
- marraskuu
- nyt
- numero
- numerot
- saada
- saatu
- Ilmeinen
- of
- Tarjoukset
- usein
- on
- Paikan päällä
- ONE
- yhdet
- verkossa
- vain
- avata
- avoimen lähdekoodin
- käyttää
- toimii
- toiminta
- operaattori
- operaattorit
- Tilaisuus
- vastakkainen
- or
- tilata
- organisaatio
- organisatorinen
- organisaatioiden
- alkuperäinen
- Muut
- meidän
- ulos
- pistorasia
- hahmoteltu
- ulostulo
- yli
- oma
- P&E
- pakattu
- sivulla
- pandeeminen
- osa
- osat
- Hyväksytty
- Salasana
- salasanat
- Ohi
- läikkä
- Kuvio
- sitkeys
- henkilöstö
- lääkkeet
- fyysinen
- tavallinen
- Platon
- Platonin tietotieto
- PlatonData
- Ole hyvä
- Kohta
- Näkökulma
- pistettä
- osa
- mahdollinen
- mahdollinen
- mahdollisesti
- teho
- esittää
- edellinen
- aiemmin
- ensisijainen
- yksityinen
- oikeudet
- todennäköisesti
- prosessi
- käsittely
- Tuotteemme
- Ohjelma
- eteneminen
- suojattu
- suojaus
- mikäli
- toimittaja
- tarjoaa
- julkaistu
- vetämällä
- työntää
- R
- satunnainen
- satunnaistettu
- pikemminkin
- päästäisiin
- vastaanottaa
- sai
- vastaanottaa
- elpyminen
- tarkoitettuja
- suhteen
- ilmoittautua
- rekisterin
- liittyvä
- jäädä
- korjaus
- TOISTUVASTI
- korvata
- korvataan
- raportti
- raportoitu
- Raportit
- edustus
- pyyntö
- pyynnöt
- edellyttää
- Vaatii
- tutkimus
- Tutkijat
- johtua
- jälleenmyyjä
- käänteinen
- tarkistuksia
- oikeudet
- rojaltit
- ajaa
- juoksu
- sama
- näki
- skannata
- skannaus
- sekuntia
- nähdä
- lähettää
- lähettäminen
- lähettää
- lähetetty
- syyskuu
- servers
- palvelu
- Palvelut
- palveluyritys
- Setit
- useat
- Kuori
- näyttää
- esitetty
- Näytä
- puoli
- Näky
- merkittävä
- samankaltainen
- Yksinkertainen
- paikka
- iho
- nukkua
- So
- Tuotteemme
- Ratkaisumme
- jonkin verran
- lähde
- erikoistunut
- erikoistunut
- määritelty
- sponsori
- sponsorointi
- Kaupallinen
- Vaihe
- standardi
- alkaa
- käynnistyksen
- Valtiot
- Askeleet
- verkkokaupasta
- tallennettu
- varastot
- lakko
- jono
- rakenne
- myöhempi
- Myöhemmin
- menestys
- Onnistuneesti
- toimitetaan
- toimittaja
- tuki
- Tukea
- järjestelmä
- järjestelmät
- taulukko
- ottaa
- otettava
- Kohde
- kohdennettu
- kohdistaminen
- tavoitteet
- Elektroniikka
- tietoliikenne
- kymmenen
- termi
- teksti
- kuin
- että
- -
- tiedot
- maailma
- heidän
- sitten
- Siellä.
- siten
- Nämä
- ne
- kolmas
- tätä
- ne
- uhkaus
- kauttaaltaan
- aika
- aikajana
- TM
- että
- yhdessä
- työkalu
- työkalut
- Yhteensä
- raita
- hoito
- oikeudenkäynti
- tunneli
- VUORO
- kaksi
- kykenemätön
- Yhtenäinen
- Arabiemiirikunnat
- Yhdistyneet Arabiemiirikunnat
- Yhdysvallat
- asti
- Päivitykset
- päivitetty
- Päivitykset
- päälle
- URL
- us
- käyttää
- käytetty
- Käyttäjät
- käyttötarkoituksiin
- käyttämällä
- hyödyllisyys
- hyödynnetty
- Hyödyntämällä
- v1
- arvo
- arvot
- lajike
- eri
- versio
- versiot
- pystysuunnassa
- Uhri
- uhrit
- Näytä
- Vierailla
- haavoittuvuuksia
- alttius
- Haavoittuva
- oli
- we
- verkko
- Web-selaimet
- HYVIN
- olivat
- Mitä
- kun
- taas
- onko
- joka
- vaikka
- leveä
- leveys
- ikkuna
- ikkunat
- with
- sisällä
- ilman
- työskentely
- maailman-
- Maailman terveysjärjestö
- olisi
- kirjoittaa
- kirjallinen
- vuotta
- Joo
- zephyrnet
- nolla-