Les chercheurs d'ESET ont découvert une campagne Ballistic Bobcat ciblant diverses entités au Brésil, en Israël et aux Émirats arabes unis, en utilisant une nouvelle porte dérobée que nous avons nommée Sponsor.
Nous avons découvert Sponsor après avoir analysé un échantillon intéressant que nous avons détecté sur le système d'une victime en Israël en mai 2022 et délimité l'ensemble des victimes par pays. Après examen, il nous est devenu évident que l’échantillon était une nouvelle porte dérobée déployée par le groupe Ballistic Bobcat APT.
Ballistic Bobcat, précédemment suivi par ESET Research sous le nom d'APT35/APT42 (alias Charming Kitten, TA453 ou PHOSPHORUS), est soupçonné Groupe de menace persistante avancée aligné sur l’Iran qui cible les organisations éducatives, gouvernementales et de santé, ainsi que les militants des droits humains et les journalistes. Elle est particulièrement active en Israël, au Moyen-Orient et aux États-Unis. Notamment, pendant la pandémie, il ciblait les organisations liées au COVID-19, notamment l’Organisation mondiale de la santé et Gilead Pharmaceuticals, ainsi que le personnel de recherche médicale.
Chevauchements entre les campagnes Ballistic Bobcat et les versions de porte dérobée des sponsors montrent un modèle assez clair de développement et de déploiement d'outils, avec des campagnes étroitement ciblées, chacune d'une durée limitée. Nous avons par la suite découvert quatre autres versions de la backdoor Sponsor. Au total, nous avons vu le sponsor déployé auprès d'au moins 34 victimes au Brésil, en Israël et aux Émirats arabes unis, comme indiqué dans REF _Ref143075975h Figure 1
.
Points clés de cet article de blog :
- Nous avons découvert une nouvelle porte dérobée déployée par Ballistic Bobcat que nous avons ensuite baptisée Sponsor.
- Ballistic Bobcat a déployé la nouvelle porte dérobée en septembre 2021, alors qu'elle terminait la campagne documentée dans l'alerte CISA AA21-321A et la campagne PowerLess.
- La porte dérobée du sponsor utilise des fichiers de configuration stockés sur le disque. Ces fichiers sont discrètement déployés par fichiers batch et délibérément conçus pour paraître inoffensifs, tentant ainsi d'échapper à la détection par les moteurs d'analyse.
- Le sponsor a été déployé auprès d'au moins 34 victimes au Brésil, en Israël et aux Émirats arabes unis ; nous avons nommé cette activité la campagne Sponsoring Access.
Accès initial
Ballistic Bobcat a obtenu un premier accès en exploitant les vulnérabilités connues des serveurs Microsoft Exchange exposés à Internet en effectuant d'abord des analyses méticuleuses du système ou du réseau pour identifier les faiblesses ou vulnérabilités potentielles, puis en ciblant et en exploitant ces faiblesses identifiées. Le groupe est connu pour adopter ce comportement depuis un certain temps. Cependant, bon nombre des 34 victimes identifiées par la télémétrie ESET pourraient être mieux décrites comme des victimes d'opportunité plutôt que comme des victimes présélectionnées et étudiées, car nous soupçonnons que Ballistic Bobcat s'est livré au comportement d'analyse et d'exploitation décrit ci-dessus parce que ce n'était pas la seule menace. acteur ayant accès à ces systèmes. Nous avons nommé cette activité Ballistic Bobcat utilisant la porte dérobée du sponsor la campagne Sponsoring Access.
La porte dérobée du sponsor utilise des fichiers de configuration sur le disque, déposés par des fichiers batch, et les deux sont inoffensifs afin de contourner les moteurs d'analyse. Cette approche modulaire est celle que Ballistic Bobcat a utilisée assez souvent et avec un succès modeste au cours des deux dernières années et demie. Sur les systèmes compromis, Ballistic Bobcat continue également d'utiliser une variété d'outils open source, que nous décrivons – ainsi que la porte dérobée du sponsor – dans ce billet de blog.
Victimologie
Une majorité significative des 34 victimes se trouvaient en Israël, avec seulement deux dans d’autres pays :
- Brésil, dans une coopérative médicale et un opérateur d'assurance maladie, et
- aux Émirats arabes unis, dans une organisation non identifiée.
REF _Ref112861418h lampe de table 1
décrit les secteurs verticaux et les détails organisationnels pour les victimes en Israël.
lampe de table Tableau SEQ * ARABE 1. Secteurs verticaux et détails organisationnels pour les victimes en Israël
|
Verticale |
Détails |
|
Automobile |
· Une entreprise automobile spécialisée dans les modifications personnalisées. · Une entreprise de réparation et d'entretien automobile. |
|
Communications |
· Un média israélien. |
|
ENGINEERING |
· Une entreprise de génie civil. · Une entreprise d'ingénierie environnementale. · Un cabinet de conception architecturale. |
|
Services financiers |
· Une société de services financiers spécialisée dans le conseil en investissement. · Une entreprise qui gère les redevances. |
|
Système de santé |
· Un prestataire de soins médicaux. |
|
Assurance |
· Une compagnie d'assurance qui exploite un marché d'assurance. · Une compagnie d'assurance commerciale. |
|
Droit applicable et juridiction compétente |
· Cabinet spécialisé en droit médical. |
|
Fabrication |
· Plusieurs entreprises de fabrication de produits électroniques. · Entreprise qui fabrique des produits commerciaux à base de métal. · Une entreprise multinationale de fabrication de technologies. |
|
Au detail |
· Un détaillant alimentaire. · Un détaillant multinational de diamants. · Un détaillant de produits de soins de la peau. · Un détaillant et installateur de traitements de fenêtres. · Un fournisseur mondial de pièces électroniques. · Un fournisseur de contrôle d’accès physique. |
|
Technologie |
· Une entreprise de technologie de services informatiques. · Un fournisseur de solutions informatiques. |
|
Télécommunications |
· Une entreprise de télécommunications. |
|
Non identifié |
· Plusieurs organisations non identifiées. |
attribution
En août 2021, la victime israélienne ci-dessus, qui exploite un marché d'assurance, a été attaquée par Ballistic Bobcat avec les outils CISA rapporté en novembre 2021. Les indicateurs de compromission que nous avons observés sont :
- MicrosoftOutlookUpdateSchedule,
- MicrosoftOutlookUpdateSchedule.xml,
- GoogleChangeManagementet une
- GoogleChangeManagement.xml.
Les outils Ballistic Bobcat communiquaient avec le même serveur de commande et de contrôle (C&C) que dans le rapport CISA : 162.55.137[.]20.
Puis, en septembre 2021, la même victime a reçu la prochaine génération d'outils Ballistic Bobcat : le Porte dérobée PowerLess et son ensemble d'outils de support. Les indicateurs de compromission que nous avons observés étaient :
- http://162.55.137[.]20/gsdhdDdfgA5sS/ff/dll.dll,
- windowsprocesses.exeet une
- http://162.55.137[.]20/gsdhdDdfgA5sS/ff/windowsprocesses.exe.
Sur Novembre 18th, 2021, le groupe a ensuite déployé un autre outil (Tinter) qui a été couvert dans le rapport CISA, comme MicrosoftOutLookUpdater.exe. Dix jours plus tard, le 28 novembreth, 2021, Ballistic Bobcat a déployé le Agent Merlin (la partie agent d'un serveur et agent C&C post-exploitation open source écrits en Go). Sur le disque, cet agent Merlin s'appelait googleUpdate.exe, en utilisant la même convention de dénomination que celle décrite dans le rapport CISA pour se cacher à la vue de tous.
L'agent Merlin a exécuté un reverse shell Meterpreter qui a rappelé un nouveau serveur C&C, 37.120.222[.]168:80. Le 12 décembreth, 2021, le shell inversé a supprimé un fichier batch, install.bat, et quelques minutes après l'exécution du fichier batch, les opérateurs de Ballistic Bobcat ont poussé leur nouvelle porte dérobée, Sponsor. Il s’agirait de la troisième version de la porte dérobée.
L'analyse technique
Accès initial
Nous avons pu identifier un moyen probable d'accès initial pour 23 des 34 victimes que nous avons observées dans la télémétrie ESET. Semblable à ce qui a été rapporté dans le Impuissant et les CISA rapports, Ballistic Bobcat a probablement exploité une vulnérabilité connue, CVE-2021-26855, sur les serveurs Microsoft Exchange pour prendre pied sur ces systèmes.
Pour 16 des 34 victimes, il semble que Ballistic Bobcat n'était pas le seul acteur malveillant à avoir accès à leurs systèmes. Cela peut indiquer, outre la grande variété de victimes et le manque apparent de valeur de renseignement de quelques victimes, que Ballistic Bobcat s'est livré à un comportement de scan et d'exploitation, par opposition à une campagne ciblée contre des victimes présélectionnées.
Toolset
Outils open-source
Ballistic Bobcat a utilisé un certain nombre d'outils open source lors de la campagne Sponsoring Access. Ces outils et leurs fonctions sont répertoriés dans REF _Ref112861458h lampe de table 2
.
lampe de table Tableau SEQ * ARABE 2. Outils open source utilisés par Ballistic Bobcat
|
Nom de fichier |
Description |
host2ip.exe
|
Cartes un nom d'hôte à une adresse IP au sein du réseau local. |
CSRSS.EXE
|
RevSocks, une application de tunnel inversé. |
mi.exe
|
Mimikatz, avec un nom de fichier original de midongle.exe et emballé avec le Emballeur PE Armadillo. |
gost.exe
|
ALLER Tunnel simple (GOST), une application de tunneling écrite en Go. |
chisel.exe
|
Ciseau, un tunnel TCP/UDP sur HTTP utilisant des couches SSH. |
csrss_protected.exe
|
Tunnel RevSocks, protégé avec la version d'essai du Protection du logiciel Enigma Protector. |
plink.exe
|
Tinter (PuTTY Link), un outil de connexion en ligne de commande. |
|
WebBrowserPassView.exe
|
A outil de récupération de mot de passe pour les mots de passe stockés dans les navigateurs Web.
|
sqxtractor.exe
|
A outil pour interagir avec les bases de données SQL et en extraire des données. |
procdump64.exe
|
ProcDumpun Utilitaire de ligne de commande Sysinternals pour surveiller les applications et générer des vidages sur incident. |
Fichiers batch
Ballistic Bobcat a déployé des fichiers batch sur les systèmes des victimes quelques instants avant de déployer la porte dérobée du sponsor. Les chemins de fichiers que nous connaissons sont :
- C:inetpubwwwrootaspnet_clientInstall.bat
- %USERPROFILE%DesktopInstall.bat
- %WINDOWS%TasksInstall.bat
Malheureusement, nous n'avons pu obtenir aucun de ces fichiers batch. Cependant, nous pensons qu’ils écrivent des fichiers de configuration inoffensifs sur le disque, dont la porte dérobée du sponsor a besoin pour fonctionner pleinement. Ces noms de fichiers de configuration ont été extraits des portes dérobées du sponsor mais n'ont jamais été collectés :
- config.txt
- noeud.txt
- erreur.txt
- Désinstaller.bat
Nous pensons que les fichiers batch et les fichiers de configuration font partie du processus de développement modulaire que Ballistic Bobcat a privilégié au cours des dernières années.
Parrainer une porte dérobée
Les portes dérobées des sponsors sont écrites en C++ avec des horodatages de compilation et des chemins de base de données de programme (PDB), comme indiqué dans REF _Ref112861527h lampe de table 3
. Une note sur les numéros de version : la colonne Version représente la version que nous suivons en interne sur la base de la progression linéaire des portes dérobées du Sponsor où les modifications sont apportées d'une version à l'autre. Le Version interne La colonne contient les numéros de version observés dans chaque porte dérobée du sponsor et sont inclus pour faciliter la comparaison lors de l'examen de ces échantillons et d'autres échantillons potentiels du sponsor.
lampe de table 3. Horodatages de compilation des sponsors et PDB
|
Version |
Version interne |
Horodatage de la compilation |
APB |
|
1 |
1.0.0 |
2021-08-29 09:12:51 |
D:TempBD_Plus_SrvcReleaseBD_Plus_Srvc.pdb |
|
2 |
1.0.0 |
2021-10-09 12:39:15 |
D:TempSponsorReleaseSponsor.pdb |
|
3 |
1.4.0 |
2021-11-24 11:51:55 |
D:TempSponsorReleaseSponsor.pdb |
|
4 |
2.1.1 |
2022-02-19 13:12:07 |
D:TempSponsorReleaseSponsor.pdb |
|
5 |
1.2.3.0 |
2022-06-19 14:14:13 |
D:TempAluminaReleaseAlumina.pdb |
L'exécution initiale de Sponsor nécessite l'argument d'exécution installer, sans lequel le sponsor quitte gracieusement, probablement une simple technique anti-émulation/anti-sandbox. Si cet argument est transmis, le sponsor crée un service appelé SystèmeRéseau (en v1) et Mises à jour (dans toutes les autres versions). Il définit le service type de démarrage à Automatique, et le configure pour exécuter son propre processus de sponsoring et lui accorde un accès complet. Il démarre ensuite le service.
Le sponsor, fonctionnant désormais en tant que service, tente d'ouvrir les fichiers de configuration susmentionnés précédemment placés sur le disque. Il cherche config.txt et les noeud.txt, tous deux dans le répertoire de travail actuel. Si le premier est manquant, le sponsor définit le service sur Arrêté et sort gracieusement.
Configuration de la porte dérobée
Configuration du sponsor, stockée dans config.txt, contient deux champs :
- Un intervalle de mise à jour, en secondes, pour contacter périodiquement le serveur C&C pour obtenir des commandes.
- Une liste de serveurs C&C, appelés relais dans les binaires du sponsor.
Les serveurs C&C sont stockés cryptés (RC4), et la clé de déchiffrement est présente dans la première ligne de config.txt. Chacun des champs, y compris la clé de déchiffrement, a le format indiqué dans REF _Ref142647636h Figure 3
.
Ces sous-champs sont :
- config_start: indique la longueur de nom_config, s'il est présent, ou zéro, sinon. Utilisé par la porte dérobée pour savoir où données_config départs.
- config_len: longueur de données_config.
- nom_config: facultatif, contient un nom donné au champ de configuration.
- données_config: la configuration elle-même, chiffrée (dans le cas des serveurs C&C) ou non (tous les autres champs).
REF _Ref142648473h Figure 4
montre un exemple avec le contenu codé par couleur d'un possible config.txt déposer. Notez qu'il ne s'agit pas d'un fichier réel que nous avons observé, mais d'un exemple fabriqué.
Les deux derniers champs de config.txt sont chiffrés avec RC4, en utilisant la représentation sous forme de chaîne du hachage SHA-256 de la clé de déchiffrement spécifiée, comme clé pour chiffrer les données. Nous voyons que les octets chiffrés sont stockés en codage hexadécimal sous forme de texte ASCII.
Collecte d'informations sur l'hôte
Le sponsor rassemble des informations sur l'hôte sur lequel il s'exécute, rapporte toutes les informations collectées au serveur C&C et reçoit un ID de nœud, qui est écrit sur noeud.txt. REF _Ref142653641h lampe de table 4
REF _Ref112861575h
répertorie les clés et les valeurs du registre Windows que le sponsor utilise pour obtenir les informations et fournit un exemple des données collectées.
Tableau 4. Informations recueillies par le sponsor
|
Clé d'enregistrement |
Valeur |
Exemple |
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
|
Hostname
|
D-835MK12
|
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTimeZoneInformation
|
Nom de la clé du fuseau horaire
|
Heure standard d'Israël
|
HKEY_USERS.DEFAULTPanneau de configurationInternational
|
Nom de la région
|
he-IL
|
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONBIOS du système
|
BaseBoardProduit
|
10NX0010IL
|
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessor
|
ChaîneNom du processeur
|
Processeur Intel (R) Core (TM) i7-8565U @ 1.80GHz
|
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion
|
ProductName
|
Windows 10 Enterprise N
|
CurrentVersion
|
6.3
|
|
Numéro de construction actuel
|
19044
|
|
Type d'installation
|
Client
|
Le sponsor collecte également le domaine Windows de l'hôte en utilisant les éléments suivants WMIC commander:
Le système informatique wmic obtient le domaine
Enfin, le sponsor utilise les API Windows pour collecter le nom d'utilisateur actuel (ObtenirNomUtilisateurW), déterminez si le processus de sponsor actuel s'exécute en tant qu'application 32 ou 64 bits (GetCurrentProcess, puis IsWow64Process (Processus actuel)), et détermine si le système fonctionne sur batterie ou est connecté à une source d'alimentation CA ou CC (ObtenirSystemPowerStatus).
Une bizarrerie concernant la vérification des candidatures 32 ou 64 bits est que tous les échantillons observés du sponsor étaient en 32 bits. Cela pourrait signifier que certains des outils de la prochaine étape nécessiteront ces informations.
Les informations collectées sont envoyées dans un message codé en base64 qui, avant le codage, commence par r et a le format indiqué dans REF _Ref142655224h Figure 5
.
Les informations sont cryptées avec RC4, et la clé de cryptage est un nombre aléatoire généré sur place. La clé est hachée avec l'algorithme MD5, et non avec SHA-256 comme mentionné précédemment. C'est le cas pour toutes les communications pour lesquelles le Sponsor doit envoyer des données cryptées.
Le serveur C&C répond avec un numéro utilisé pour identifier l'ordinateur victime lors de communications ultérieures, qui est écrit dans noeud.txt. Notez que le serveur C&C est choisi aléatoirement dans la liste lorsque le r Le message est envoyé et le même serveur est utilisé dans toutes les communications ultérieures.
Boucle de traitement des commandes
Le sponsor demande des commandes en boucle, dormant selon l'intervalle défini dans config.txt. Les étapes sont :
- Envoyer nous chk=Test message à plusieurs reprises, jusqu'à ce que le serveur C&C réponde Ok.
- Envoyer nous c (IS_CMD_AVAIL) au serveur C&C et recevez une commande opérateur.
- Traitez la commande.
- S'il y a une sortie à envoyer au serveur C&C, envoyez un a (ACK) message, y compris la sortie (chiffrée), ou
- Si l'exécution échoue, envoyez un f
(ÉCHEC) message. Le message d'erreur n'est pas envoyé.
- Sommeil.
Le c Le message est envoyé pour demander l'exécution d'une commande et a le format (avant l'encodage base64) indiqué dans REF _Ref142658017h Figure 6
.
Le chiffré_aucun Le champ dans la figure est le résultat du cryptage de la chaîne codée en dur Aucun avec RC4. La clé de chiffrement est le hachage MD5 de id_noeud.
L'URL utilisée pour contacter le serveur C&C est construite comme suit : http://<IP_or_domain>:80. Cela peut indiquer que 37.120.222[.]168:80 est le seul serveur C&C utilisé tout au long de la campagne Sponsoring Access, car c'était la seule adresse IP à laquelle nous avons observé que les machines des victimes s'adressaient au port 80.
Commandes opérateur
Les commandes de l'opérateur sont délimitées dans REF _Ref112861551h lampe de table 5
et apparaissent dans l'ordre dans lequel ils se trouvent dans le code. La communication avec le serveur C&C s'effectue via le port 80.
Tableau 5. Commandes et descriptions de l'opérateur
|
Command |
Description |
|
p |
Envoie l'ID de processus pour le processus sponsor en cours d'exécution. |
|
e |
Exécute une commande, comme spécifié dans un argument supplémentaire ultérieur, sur l'hôte Sponsor à l'aide de la chaîne suivante : c:windowssystem32cmd.exe /c > résultat.txt 2>&1 Les résultats sont stockés dans result.txt dans le répertoire de travail actuel. Envoie un a message avec la sortie cryptée vers le serveur C&C s'il est exécuté avec succès. En cas d'échec, envoie un f message (sans préciser l'erreur). |
|
d |
Reçoit un fichier du serveur C&C et l'exécute. Cette commande a de nombreux arguments : le nom de fichier cible dans lequel écrire le fichier, le hachage MD5 du fichier, un répertoire dans lequel écrire le fichier (ou le répertoire de travail actuel, par défaut), un booléen pour indiquer s'il faut exécuter le fichier ou non, et le contenu du fichier exécutable, codé en base64. Si aucune erreur ne se produit, un a Le message est envoyé au serveur C&C avec Téléchargez et exécutez le fichier avec succès or Téléchargez le fichier avec succès sans l'exécuter (crypté). Si des erreurs surviennent lors de l'exécution du fichier, un f le message est envoyé. Si le hachage MD5 du contenu du fichier ne correspond pas au hachage fourni, un e (CRC_ERREUR) est envoyé au serveur C&C (incluant uniquement la clé de cryptage utilisée, et aucune autre information). L'utilisation du terme Téléchargement ici est potentiellement déroutant car les opérateurs et les codeurs de Ballistic Bobcat adoptent le point de vue du côté serveur, alors que beaucoup pourraient considérer cela comme un téléchargement basé sur l'extraction du fichier (c'est-à-dire son téléchargement) par le système utilisant la porte dérobée du sponsor. |
|
u |
Tente de télécharger un fichier à l'aide du URLTéléchargerFichierW API Windows et exécutez-la. Le succès envoie un a message avec la clé de cryptage utilisée, et aucune autre information. L'échec envoie un f message avec une structure similaire. |
|
s |
Exécute un fichier déjà sur le disque, Désinstaller.bat dans le répertoire de travail actuel, qui contient très probablement des commandes pour supprimer les fichiers liés à la porte dérobée. |
|
n |
Cette commande peut être explicitement fournie par un opérateur ou peut être déduite par le Sponsor comme la commande à exécuter en l'absence de toute autre commande. Désigné au sein du sponsor comme NO_CMD, il exécute une mise en veille aléatoire avant de se réenregistrer auprès du serveur C&C. |
|
b |
Met à jour la liste des C&C stockés dans config.txt dans le répertoire de travail actuel. Les nouvelles adresses C&C remplacent les précédentes ; ils ne sont pas ajoutés à la liste. Il envoie un a message avec |
|
i |
Met à jour l'intervalle d'enregistrement prédéterminé spécifié dans config.txt. Il envoie un a message avec Nouvel intervalle remplacé avec succès au serveur C&C si la mise à jour est réussie. |
Mises à jour du sponsor
Les codeurs de Ballistic Bobcat ont révisé le code entre Sponsor v1 et v2. Les deux changements les plus significatifs dans ce dernier sont :
- Optimisation du code où plusieurs fonctions plus longues ont été minimisées en fonctions et sous-fonctions, et
- Déguiser le sponsor en programme de mise à jour en incluant le message suivant dans la configuration du service :
Les mises à jour d'applications sont idéales à la fois pour les utilisateurs d'applications et pour les applications : les mises à jour signifient que les développeurs travaillent toujours à l'amélioration de l'application, en gardant à l'esprit une meilleure expérience client à chaque mise à jour.
Infrastructure de réseau
En plus de s'appuyer sur l'infrastructure C&C utilisée dans la campagne PowerLess, Ballistic Bobcat a également introduit un nouveau serveur C&C. Le groupe a également utilisé plusieurs adresses IP pour stocker et fournir des outils d'assistance pendant la campagne Sponsoring Access. Nous avons confirmé qu'aucune de ces adresses IP n'est opérationnelle pour le moment.
Conclusion
Ballistic Bobcat continue de fonctionner selon un modèle d'analyse et d'exploitation, à la recherche de cibles d'opportunité présentant des vulnérabilités non corrigées dans les serveurs Microsoft Exchange exposés à Internet. Le groupe continue d'utiliser un ensemble d'outils open source diversifié complété par plusieurs applications personnalisées, y compris sa porte dérobée Sponsor. Les défenseurs seraient bien avisés de patcher tous les appareils exposés à Internet et de rester vigilants quant aux nouvelles applications apparaissant au sein de leurs organisations.
Pour toute question concernant nos recherches publiées sur WeLiveSecurity, veuillez nous contacter à menaceintel@eset.com.
ESET Research propose des rapports d'intelligence APT privés et des flux de données. Pour toute demande concernant ce service, rendez-vous sur Intelligence des menaces ESET .
IoCs
Fichiers
|
SHA-1 |
Nom de fichier |
Détection |
Description |
098B9A6CE722311553E1D8AC5849BA1DC5834C52
|
N/D |
Win32/Agent.UXG |
Porte dérobée Ballistic Bobcat, sponsor (v1). |
5AEE3C957056A8640041ABC108D0B8A3D7A02EBD
|
N/D |
Win32/Agent.UXG |
Porte dérobée Ballistic Bobcat, sponsor (v2). |
764EB6CA3752576C182FC19CFF3E86C38DD51475
|
N/D |
Win32/Agent.UXG |
Porte dérobée Ballistic Bobcat, sponsor (v3). |
2F3EDA9D788A35F4C467B63860E73C3B010529CC
|
N/D |
Win32/Agent.UXG |
Porte dérobée Ballistic Bobcat, sponsor (v4). |
E443DC53284537513C00818392E569C79328F56F
|
N/D |
Win32/Agent.UXG |
Porte dérobée Ballistic Bobcat, sponsor (v5, alias Alumina). |
C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61
|
N/D |
WinGo/Agent.BT |
Tunnel inversé RevSocks. |
39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6
|
N/D |
espace extérieur plus propre, |
ProcDump, un utilitaire de ligne de commande pour surveiller les applications et générer des vidages sur incident. |
A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A
|
N/D |
Generik.EYWYQYF |
Mimikatz. |
5D60C8507AC9B840A13FFDF19E3315A3E14DE66A
|
N/D |
WinGo/Riskware.Gost.D |
ALLER Tunnel simple (GOST). |
50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617
|
N/D |
WinGo/HackTool.Chisel.A |
Tunnel inversé ciseau. |
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252
|
N/D |
N/D |
Outil de découverte Host2IP. |
519CA93366F1B1D71052C6CE140F5C80CE885181
|
N/D |
Win64/Packed.Enigma.BV |
Tunnel RevSocks, protégé avec la version d'essai du logiciel de protection Enigma Protector. |
4709827C7A95012AB970BF651ED5183083366C79
|
N/D |
N/D |
Plink (PuTTY Link), un outil de connexion en ligne de commande. |
99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8
|
N/D |
Win32/PSWTool.WebBrowserPassView.I |
Un outil de récupération de mot de passe pour les mots de passe stockés dans les navigateurs Web. |
E52AA118A59502790A4DD6625854BD93C0DEAF27
|
N/D |
MSIL/HackTool.SQLDump.A |
Un outil pour interagir avec les bases de données SQL et en extraire des données. |
Chemins de fichiers
Voici une liste des chemins par lesquels la porte dérobée du sponsor a été déployée sur les machines victimes.
%SYSTEMDRIVE%inetpubwwwrootaspnet_client
%USERPROFILE%AppDataLocalTempfile
%USERPROFILE%AppDataLocalTemp2low
% USERPROFILE% Desktop
%USERPROFILE%Téléchargementsa
% WINDIR%
%WINDIR%INFMMSDN de livraison d'échange
%WINDIR%Tâches
%WINDIR%Temp%WINDIR%Tempcrashpad1Fichiers
Réseau
IP
Provider
Vu la première fois
Vue la dernière fois
Détails
162.55.137[.]20
Hetzner Online GMBH
2021-06-14
2021-06-15
C&C sans puissance.
37.120.222[.]168
M247 LTD
2021-11-28
2021-12-12
Parrainez C&C.
198.144.189[.]74
Colocrossing
2021-11-29
2021-11-29
Site de téléchargement des outils d'assistance.
5.255.97[.]172
Le Groupe Infrastructure BV
2021-09-05
2021-10-28
Site de téléchargement des outils d'assistance.
IP
Provider
Vu la première fois
Vue la dernière fois
Détails
162.55.137[.]20
Hetzner Online GMBH
2021-06-14
2021-06-15
C&C sans puissance.
37.120.222[.]168
M247 LTD
2021-11-28
2021-12-12
Parrainez C&C.
198.144.189[.]74
Colocrossing
2021-11-29
2021-11-29
Site de téléchargement des outils d'assistance.
5.255.97[.]172
Le Groupe Infrastructure BV
2021-09-05
2021-10-28
Site de téléchargement des outils d'assistance.
Ce tableau a été construit avec Version 13 du cadre MITRE ATT&CK.
|
Tactique |
ID |
Nom |
Description |
|
Reconnaissance |
Analyse active : analyse des vulnérabilités |
Ballistic Bobcat recherche les versions vulnérables des serveurs Microsoft Exchange à exploiter. |
|
|
Développement des ressources |
Développer des capacités : logiciels malveillants |
Ballistic Bobcat a conçu et codé la porte dérobée du sponsor. |
|
|
Obtenir des capacités : outil |
Ballistic Bobcat utilise divers outils open source dans le cadre de la campagne Sponsoring Access. |
||
|
Accès initial |
Exploiter l'application publique |
Ballistic Bobcat cible les internautes exposés Serveurs Microsoft Exchange. |
|
|
Internationaux |
Interpréteur de commandes et de scripts : Shell de commandes Windows |
La porte dérobée du sponsor utilise le shell de commande Windows pour exécuter des commandes sur le système de la victime. |
|
|
Services système : exécution de services |
La porte dérobée du sponsor se définit comme un service et lance ses fonctions principales une fois le service exécuté. |
||
|
Persistence |
Créer ou modifier un processus système : service Windows |
Le sponsor maintient la persistance en créant un service avec démarrage automatique qui exécute ses fonctions principales en boucle. |
|
|
Elévation de Privilèges |
Comptes valides : comptes locaux |
Les opérateurs de Ballistic Bobcat tentent de voler les informations d'identification d'utilisateurs valides après avoir initialement exploité un système avant de déployer la porte dérobée du sponsor. |
|
|
Évasion défensive |
Désobscurcir/décoder des fichiers ou des informations |
Le sponsor stocke les informations sur le disque qui sont cryptées et obscurcies, et les désobscurcit au moment de l'exécution. |
|
|
Fichiers ou informations obscurcis |
Les fichiers de configuration requis par la porte dérobée du sponsor sur le disque sont cryptés et obscurcis. |
||
|
Comptes valides : comptes locaux |
Le sponsor est exécuté avec des privilèges d'administrateur, probablement en utilisant les informations d'identification que les opérateurs ont trouvées sur le disque ; ainsi que les conventions de dénomination inoffensives de Ballistic Bobcat, cela permet au sponsor de se fondre dans l'arrière-plan. |
||
|
Accès aux informations d'identification |
Informations d'identification des magasins de mots de passe : informations d'identification des navigateurs Web |
Les opérateurs de Ballistic Bobcat utilisent des outils open source pour voler les informations d'identification des magasins de mots de passe dans les navigateurs Web. |
|
|
Découverte |
Découverte du système à distance |
Ballistic Bobcat utilise l'outil Host2IP, précédemment utilisé par Agrius, pour découvrir d'autres systèmes au sein des réseaux accessibles et corréler leurs noms d'hôte et adresses IP. |
|
|
Commander et contrôler |
Obfuscation des données |
La porte dérobée du sponsor masque les données avant de les envoyer au serveur C&C. |
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Automobile / VE, Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- GraphiquePrime. Élevez votre jeu de trading avec ChartPrime. Accéder ici.
- Décalages de bloc. Modernisation de la propriété des compensations environnementales. Accéder ici.
- La source: https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/
- :possède
- :est
- :ne pas
- :où
- $UP
- 09
- 1
- 10
- 11
- 12
- 13
- 14
- 15%
- 150
- 16
- 179
- 20
- 2021
- 2022
- 23
- 24
- 25
- 31
- 39
- 51
- 60
- 7
- 8
- 80
- 9
- a
- Capable
- A Propos
- au dessus de
- AC
- accès
- Selon
- hybrides
- infection
- militants
- activité
- présenter
- ajoutée
- ajout
- Supplémentaire
- propos
- adresses
- admin
- Avancée
- Après
- à opposer à
- Agent
- aka
- Alerte
- algorithme
- Tous
- permet
- le long de
- déjà
- aussi
- toujours
- an
- analysé
- et les
- Une autre
- tous
- api
- Apis
- appli
- apparent
- apparaître
- apparaît
- Application
- applications
- une approche
- applications
- APT
- Arabe
- Émirats Arabes
- Arabe
- architectural
- SONT
- argument
- arguments
- AS
- demander
- At
- tenter
- Tentatives
- Août
- Automatique
- l'automobile
- conscients
- RETOUR
- détourné
- Backdoors
- fond
- basé
- batterie
- BE
- est devenu
- car
- était
- before
- humain
- CROYONS
- LES MEILLEURS
- Améliorée
- jusqu'à XNUMX fois
- Mélangeurs Spéciaux
- tous les deux
- Brasil
- navigateurs
- construit
- mais
- by
- C + +
- appelé
- Campagne
- Campagnes
- CAN
- capacités
- les soins
- maisons
- Canaux centraux
- Modifications
- vérifier
- vérification
- choisi
- civil
- clair
- code
- codé
- recueillir
- Colonne
- COM
- commercial
- Communication
- Communications
- Sociétés
- Société
- Comparaison
- compromis
- Compromise
- ordinateur
- conduite
- configuration
- CONFIRMÉ
- confusion
- connecté
- connexion
- contact
- contient
- contenu
- continue
- des bactéries
- Convention
- coopérative
- pourriez
- d'exportation
- Pays
- couvert
- Crash
- crée des
- La création
- Lettres de créance
- Courant
- Customiser
- des clients
- expérience client
- données
- Base de données
- bases de données
- jours
- dc
- Décembre
- Réglage par défaut
- défenseurs
- défini
- livrer
- page de livraison.
- déployé
- déployer
- déploiement
- décrire
- décrit
- Conception
- un
- détails
- détecté
- Détection
- Déterminer
- détermine
- mobiles
- Développement
- Compatibles
- Diamant
- découvrez
- découvert
- découverte
- distribution
- plusieurs
- domaine
- download
- chuté
- durée
- pendant
- e
- chacun
- facilité
- Est
- Éducation
- Electronique
- Electronique
- émirats
- employés
- crypté
- chiffrement
- s'engager
- engagé
- ENGINEERING
- Moteurs
- Énigme
- Entreprise
- entités
- environnementales
- erreur
- Erreurs
- Recherche ESET
- évident
- Examiner
- exemple
- échange
- exécuter
- réalisé
- Exécute
- exécution
- exécution
- sorties
- d'experience
- Exploiter
- Exploités
- exploitant
- Échoué
- Échec
- équitablement
- few
- champ
- Des champs
- Figure
- Déposez votre dernière attestation
- Fichiers
- la traduction de documents financiers
- services financiers
- société de services financiers
- Ferme
- Prénom
- Abonnement
- nourriture
- Pour
- le format
- trouvé
- quatre
- De
- plein
- d’étiquettes électroniques entièrement
- fonction
- fonctions
- Gain
- recueillies
- généré
- générateur
- génération
- géographique
- obtenez
- donné
- Global
- Go
- Gouvernement
- subventions
- l'
- Réservation de groupe
- Half
- hachage
- haché
- Vous avez
- Santé
- l'assurance maladie
- la médecine
- ici
- Cacher
- hôte
- Cependant
- HTML
- http
- HTTPS
- humain
- droits de l'homme
- i
- ID
- identifié
- identifier
- if
- image
- l'amélioration de
- in
- Dans d'autres
- inclus
- Y compris
- indiquer
- indique
- Indicateurs
- d'information
- Infrastructure
- initiale
- possible
- Initie
- Messages
- à l'intérieur
- Assurance
- Intelligence
- interagissant
- intéressant
- intérieurement
- développement
- introduit
- un investissement
- IP
- IP dédiée
- adresses IP
- Israël
- IT
- SES
- lui-même
- Les journalistes ;
- en gardant
- ACTIVITES
- clés
- Savoir
- connu
- Peindre
- Nom
- plus tard
- Droit applicable et juridiction compétente
- poules pondeuses
- au
- Longueur
- Probable
- limité
- Gamme
- LINK
- Liste
- Listé
- locales
- situé
- plus long
- recherchez-
- LOOKS
- Les machines
- LES PLANTES
- maintient
- facile
- Majorité
- gère
- fabrication
- de nombreuses
- marché
- Match
- Mai..
- MD5
- signifier
- veux dire
- Médias
- médical
- soins médicaux
- la recherche médicale
- mentionné
- message
- méticuleux
- Microsoft
- Milieu
- Moyen-Orient
- pourrait
- l'esprit
- Minutes
- manquant
- modèle
- modeste
- Modifications
- modifier
- application
- Des moments
- Stack monitoring
- (en fait, presque toutes)
- multinational
- plusieurs
- prénom
- Nommé
- nommage
- réseau et
- réseaux
- n'allons jamais
- Nouveauté
- Date
- next
- aucune
- nœud
- Aucun
- notamment
- roman
- Novembre
- maintenant
- nombre
- numéros
- obtenir
- obtenu
- évident
- of
- Offres Speciales
- souvent
- on
- Sur place
- ONE
- et, finalement,
- en ligne
- uniquement
- ouvert
- open source
- fonctionner
- exploite
- opération
- opérateur
- opérateurs
- Opportunités
- opposé
- or
- de commander
- organisation
- organisationnel
- organisations
- original
- Autre
- nos
- ande
- Entrepôt
- décrit
- sortie
- plus de
- propre
- P&E
- emballé
- page
- pandémie
- partie
- les pièces
- passé
- Mot de Passe
- mots de passe
- passé
- Pièce
- Patron de Couture
- persistance
- personnel
- médicaments
- Physique
- Plaine
- Platon
- Intelligence des données Platon
- PlatonDonnées
- veuillez cliquer
- Point
- Point de vue
- des notes bonus
- partieInvestir dans des appareils économes en énergie et passer à l'éclairage
- possible
- défaillances
- l'éventualité
- power
- représentent
- précédent
- précédemment
- primaire
- Privé
- privilèges
- Probablement
- processus
- traitement
- Produits
- Programme
- progression
- protégé
- protection
- à condition de
- de voiture.
- fournit
- publié
- tirant
- Poussé
- R
- aléatoire
- Randomisé
- plutôt
- atteindre
- recevoir
- reçu
- reçoit
- récupération
- visée
- en ce qui concerne
- vous inscrire
- enregistrement
- en relation
- rester
- réparation
- À PLUSIEURS REPRISES
- remplacer
- remplacé
- rapport
- Signalé
- Rapports
- représentation
- nécessaire
- demandes
- exigent
- a besoin
- un article
- chercheurs
- résultat
- détaillant
- inverser
- révisions
- droits
- redevance
- Courir
- pour le running
- même
- scie
- balayage
- balayage
- secondes
- sur le lien
- envoyer
- envoi
- envoie
- envoyé
- Septembre
- Serveurs
- service
- Services
- société de services
- Sets
- plusieurs
- coquillage
- montrer
- montré
- Spectacles
- côté
- Vue
- significative
- similaires
- étapes
- site
- Peau
- sleep
- So
- Logiciels
- Solutions
- quelques
- Identifier
- spécialise
- spécialisation
- spécifié
- parrainer
- parrainage
- Spot
- Étape
- Standard
- départs
- Commencez
- États
- Étapes
- Boutique
- stockée
- STORES
- grève
- Chaîne
- structure
- ultérieur
- Par la suite
- succès
- Avec succès
- fourni
- fournisseur
- Support
- Appuyer
- combustion propre
- Système
- table
- Prenez
- tâches
- Target
- des campagnes marketing ciblées,
- ciblage
- objectifs
- Technologie
- monde de télécommunications
- Dix
- terme
- texte
- que
- qui
- Le
- les informations
- le monde
- leur
- puis
- Là.
- ainsi
- Ces
- l'ont
- Troisièmement
- this
- ceux
- menace
- tout au long de
- fiable
- calendrier
- TM
- à
- ensemble
- outil
- les outils
- Total
- suivre
- traitement
- procès
- tunnel
- TOUR
- deux
- incapable
- Uni
- Emirats Arabes
- Émirats arabes unis
- États-Unis
- jusqu'à
- Mises à jour
- a actualisé
- Actualités
- sur
- URL
- us
- utilisé
- d'utiliser
- utilisateurs
- Usages
- en utilisant
- utilitaire
- utilisé
- Utilisant
- v1
- Plus-value
- Valeurs
- variété
- divers
- version
- versions
- verticales
- Victime
- victimes
- Voir
- Visiter
- vulnérabilités
- vulnérabilité
- Vulnérable
- était
- we
- web
- Navigateurs Web
- WELL
- ont été
- Quoi
- quand
- Les
- que
- qui
- tout en
- large
- largeur
- fenêtre
- fenêtres
- comprenant
- dans les
- sans
- de travail
- world
- L'Organisation mondiale de la Santé
- pourra
- écrire
- code écrit
- années
- Oui
- zéphyrnet
- zéro
