Szponzor kötegelt bajuszokkal: Ballistic Bobcat szkennelés és támadás hátsó ajtója

Az ESET kutatói felfedeztek egy Ballistic Bobcat kampányt, amely Brazíliában, Izraelben és az Egyesült Arab Emírségekben különböző entitásokat céloz meg egy újszerű háttérajtó segítségével, amelyet Szponzornak neveztünk el.

A szponzort azután fedeztük fel, hogy elemeztünk egy érdekes mintát, amelyet egy áldozat rendszerén észleltünk Izraelben 2022 májusában, és országonként feltérképeztük az áldozatokat. A vizsgálat során nyilvánvalóvá vált számunkra, hogy a minta egy újszerű hátsó ajtó, amelyet a Ballistic Bobcat APT csoport telepített.

A Ballistic Bobcat, amelyet az ESET Research korábban APT35/APT42 néven (más néven Charming Kitten, TA453 vagy PHOSPHORUS) követett nyomon, feltételezhetően Iránhoz kötődő, előrehaladott, tartósan fenyegető csoport amely az oktatási, kormányzati és egészségügyi szervezeteket, valamint emberi jogi aktivistákat és újságírókat célozza meg. Legaktívabb Izraelben, a Közel-Keleten és az Egyesült Államokban. Nevezetesen, a világjárvány idején a COVID-19-hez kapcsolódó szervezeteket, köztük az Egészségügyi Világszervezetet és a Gilead Pharmaceuticalst, valamint az orvosi kutatószemélyzetet célozta meg.

Átfedések a Ballistic Bobcat kampányok között A szponzor és a szponzor hátsóajtós verziói meglehetősen világos mintát mutatnak az eszközfejlesztés és -telepítés terén, szűken célzott kampányokkal, amelyek mindegyike korlátozott időtartamú. Ezt követően felfedeztük a szponzor hátsó ajtó négy másik verzióját. A szponzort összesen legalább 34 áldozatnál láttuk Brazíliában, Izraelben és az Egyesült Arab Emírségekben, amint azt a  REF _Ref143075975 h Ábra 1
.

A blogbejegyzés főbb pontjai:

• Felfedeztük a Ballistic Bobcat által telepített új hátsó ajtót, amelyet később Szponzornak neveztünk el.
• A Ballistic Bobcat 2021 szeptemberében helyezte üzembe az új hátsó ajtót, miközben a CISA Alert AA21-321A-ban dokumentált kampányt és a PowerLess kampányt zárta le.
• A szponzor hátsó ajtó a lemezen tárolt konfigurációs fájlokat használja. Ezeket a fájlokat diszkréten kötegelt fájlok vezetik be, és szándékosan úgy tervezték, hogy ártalmatlannak tűnjenek, így megpróbálják elkerülni a szkennelő motorok általi észlelést.
• A szponzort legalább 34 áldozathoz telepítették Brazíliában, Izraelben és az Egyesült Arab Emírségekben; ezt a tevékenységet Szponzorálási hozzáférés kampánynak neveztük el.

Kezdeti hozzáférés

A Ballistic Bobcat a kezdeti hozzáférést az internetre kitett Microsoft Exchange szerverek ismert sebezhetőségeinek kihasználásával szerezte meg. Először alaposan átvizsgálta a rendszert vagy a hálózatot, hogy azonosítsa a lehetséges gyengeségeket vagy sebezhetőségeket, majd megcélozta és kihasználta az azonosított gyengeségeket. A csoportról egy ideje ismert volt, hogy részt vesznek ebben a viselkedésben. Az ESET telemetriájában azonosított 34 áldozat közül azonban a legjobban inkább a lehetőségek áldozataiként írható le, nem pedig előre kiválasztott és megvizsgált áldozatokként, mivel azt gyanítjuk, hogy a Ballistic Bobcat a fent leírt szkennelési és kihasználási magatartást tanúsította, mert nem ez volt az egyetlen fenyegetés. rendszerekhez hozzáféréssel rendelkező szereplő. Ezt a Ballistic Bobcat tevékenységet a Szponzor hátsó ajtón keresztül Szponzorálási hozzáférés kampánynak neveztük el.

A szponzori hátsó ajtó a lemezen lévő konfigurációs fájlokat használja, amelyeket kötegfájlokkal dobnak el, és mindkettő ártalmatlan, mivel megkerüli a vizsgálómotorokat. Ezt a moduláris megközelítést a Ballistic Bobcat meglehetősen gyakran és szerény sikerrel alkalmazta az elmúlt két és fél évben. Kompromittált rendszereken a Ballistic Bobcat továbbra is számos nyílt forráskódú eszközt használ, amelyeket ebben a blogbejegyzésben – a szponzori háttérajtóval együtt – ismertetünk.

viktimológiát

A 34 áldozat jelentős többsége Izraelben volt, és csak kettő más országokban:

• Brazília, egy egészségügyi szövetkezetnél és egészségbiztosítónál, ill
• az Egyesült Arab Emírségekben, egy ismeretlen szervezetnél.

 REF _Ref112861418 h Táblázat 1
leírja az izraeli áldozatok vertikumait és szervezeti részleteit.

Táblázat  SEQ táblázat * ARAB 1. Vertikális és szervezeti részletek az izraeli áldozatokról

Függőleges	Részletek
Autóipari	·       Egyedi módosításokra szakosodott autóipari cég. ·       Autójavító és -karbantartó cég.
távközlés	·       Egy izraeli sajtóorgánum.
Mérnöki	·       Egy mélyépítő cég. ·       Környezetmérnöki cég. ·       Építészeti tervező iroda.
Pénzügyi szolgáltatások	·       Befektetési tanácsadásra szakosodott pénzügyi szolgáltató cég. ·       Jogdíjakat kezelő cég.
Egészségügy	·       Orvosi szolgáltató.
Biztosítás	·       Biztosító társaság, amely biztosítási piacot működtet. ·       Kereskedelmi biztosító társaság.
Törvény	·       Orvosi jogra szakosodott cég.
Gyártás	·       Több elektronikai gyártó cég. ·       Fémalapú kereskedelmi termékeket gyártó cég. ·       Multinacionális technológiai gyártó cég.
Kiskereskedelem	·       Élelmiszer-kiskereskedő. ·       Egy multinacionális gyémánt kiskereskedő. ·       Bőrápoló termékek kiskereskedője. ·       Ablakkezelő kiskereskedő és szerelő. ·       Globális elektronikai alkatrészek beszállítója. ·       Fizikai beléptető szolgáltató.
Technológia	·       IT szolgáltató technológiai cég. ·       IT megoldások szolgáltatója.
Távközlés	·       Telekommunikációs cég.
azonosítatlan	·       Több azonosítatlan szervezet.

tulajdonság

2021 augusztusában a biztosítási piacot üzemeltető izraeli áldozatot a Ballistic Bobcat megtámadta az eszközökkel. A CISA 2021 novemberében jelentette be. Az általunk megfigyelt kompromisszum mutatói a következők:

• MicrosoftOutlookUpdateSchedule,
• MicrosoftOutlookUpdateSchedule.xml,
• GoogleChangeManagementés
• GoogleChangeManagement.xml.

A Ballistic Bobcat eszközök ugyanazzal a parancs és vezérlő (C&C) szerverrel kommunikáltak, mint a CISA jelentésben: 162.55.137[.]20.

Aztán 2021 szeptemberében ugyanez az áldozat megkapta a Ballistic Bobcat eszközök következő generációját: a Powerless hátsó ajtó és az azt támogató eszközkészlet. A kompromisszum mutatói a következők voltak:

• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/dll.dll,
• windowsprocesses.exeés
• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/windowsprocesses.exe.

November 18-én^th, 2021, a csoport ezután egy másik eszközt vetett be (Plink), amellyel a CISA-jelentés foglalkozott, mint MicrosoftOutLookUpdater.exe. Tíz nappal később, november 28-án^th, 2021, Ballistic Bobcat telepítette a Merlin ügynök (az ügynök része egy nyílt forráskódú, kihasználás utáni C&C szerver és Go nyelven írt ügynök). A lemezen ezt a Merlin ügynököt nevezték el googleUpdate.exe, ugyanazt az elnevezési konvenciót használva, mint a CISA-jelentésben, hogy elrejtőzzön a szem előtt.

A Merlin ügynök végrehajtott egy Meterpreter reverse shellt, amely visszahívott egy új C&C szervert, 37.120.222[.]168:80. December 12-én^th, 2021, a fordított shell eldobott egy kötegfájlt, install.bat, és a kötegfájl végrehajtása után néhány percen belül a Ballistic Bobcat operátorok megnyomták legújabb hátsó ajtójukat, a Szponzort. Ez lesz a hátsó ajtó harmadik verziója.

Technikai elemzés

Kezdeti hozzáférés

Az ESET telemetria során megfigyelt 23 áldozat közül 34 esetében sikerült azonosítani a kezdeti hozzáférés valószínű módjait. Hasonlóan ahhoz, amit a Tehetetlen és a CISA jelentések szerint a Ballistic Bobcat valószínűleg egy ismert sebezhetőséget használt ki, CVE-2021 26855-, a Microsoft Exchange szervereken, hogy megvegye a lábát ezeken a rendszereken.

A 16 áldozat közül 34 esetében úgy tűnik, hogy nem a Ballistic Bobcat volt az egyetlen fenyegetőző, aki hozzáfért rendszereihez. Ez az áldozatok sokféleségével és néhány áldozat nyilvánvaló hírszerzési értékének nyilvánvaló hiányával együtt arra utalhat, hogy a Ballistic Bobcat átkutat és kihasznál, szemben az előre kiválasztott áldozatok elleni célzott kampánysal.

eszközkészlet

Nyílt forráskódú eszközök

A Ballistic Bobcat számos nyílt forráskódú eszközt alkalmazott a Sponsoring Access kampány során. Ezek az eszközök és funkcióik a listában vannak felsorolva  REF _Ref112861458 h Táblázat 2
.

Táblázat  SEQ táblázat * ARAB 2. A Ballistic Bobcat által használt nyílt forráskódú eszközök

Filename	Leírás
host2ip.exe	Térképek a állomásnevet egy IP-címre a helyi hálózaton belül.
CSRSS.EXE	RevSocks, fordított alagút alkalmazás.
mi.exe	Mimikatz, eredeti fájlnévvel midongle.exe és megpakolva a Armadillo PE csomagoló.
gost.exe	GO Simple Tunnel (VENDÉG), egy Go nyelven írt alagútépítő alkalmazás.
chisel.exe	Véső, egy TCP/UDP alagút HTTP-n keresztül SSH rétegeket használva.
csrss_protected.exe	RevSocks alagút, a próbaverzióval védett Enigma Protector szoftvervédelem.
plink.exe	Plink (PuTTY Link), egy parancssori csatlakozási eszköz.
WebBrowserPassView.exe	A jelszó-helyreállító eszköz a webböngészőkben tárolt jelszavakhoz.
sqlextractor.exe	A szerszám SQL-adatbázisokkal való interakcióhoz és adatok kinyeréséhez.
procdump64.exe	ProcDumpEgy  Sysinternals parancssori segédprogram alkalmazások figyelésére és összeomlási kiíratások generálására.

Kötegelt fájlok

A Ballistic Bobcat pillanatokkal a szponzor hátsó ajtó telepítése előtt kötegelt fájlokat telepített az áldozatok rendszerére. Az általunk ismert fájl elérési utak a következők:

• C:inetpubwwwrootaspnet_clientInstall.bat
• %USERPROFILE%DesktopInstall.bat
• %WINDOWS%TasksInstall.bat

Sajnos nem tudtuk beszerezni ezeket a kötegfájlokat. Azonban úgy gondoljuk, hogy ártalmatlan konfigurációs fájlokat írnak a lemezre, amelyekre a szponzor hátsó ajtónak szüksége van a teljes működéshez. Ezeket a konfigurációs fájlneveket a szponzor hátsó ajtóiból vettük, de soha nem gyűjtötték össze:

• config.txt
• node.txt
• error.txt
• Uninstall.bat

Úgy gondoljuk, hogy a kötegfájlok és a konfigurációs fájlok annak a moduláris fejlesztési folyamatnak a részét képezik, amelyet a Ballistic Bobcat kedvelt az elmúlt néhány évben.

Szponzor hátsó ajtó

A szponzori hátsó ajtók C++ nyelven vannak megírva, fordítási időbélyegekkel és programadatbázis (PDB) elérési utakkal, amint az itt látható.  REF _Ref112861527 h Táblázat 3
. Megjegyzés a verziószámokhoz: az oszlop Változat azt a verziót képviseli, amelyet belsőleg követünk a szponzori hátsó ajtók lineáris előrehaladása alapján, ahol a változtatások egyik verzióról a másikra történnek. A Belső verzió oszlop tartalmazza az egyes szponzorok hátsó ajtóiban megfigyelt verziószámokat, és az összehasonlíthatóság megkönnyítése érdekében ezeket és más lehetséges szponzormintákat vizsgáljuk.

Táblázat 3. Szponzorálási időbélyegek és PDB-k

Változat	Belső verzió	Összeállítási időbélyeg	EKT
1	1.0.0	2021-08-29 09:12:51	D:TempBD_Plus_SrvcReleaseBD_Plus_Srvc.pdb
2	1.0.0	2021-10-09 12:39:15	D:TempSponsorReleaseSponsor.pdb
3	1.4.0	2021-11-24 11:51:55	D:TempSponsorReleaseSponsor.pdb
4	2.1.1	2022-02-19 13:12:07	D:TempSponsorReleaseSponsor.pdb
5	1.2.3.0	2022-06-19 14:14:13	D:TempAluminaReleaseAlumina.pdb

A szponzor kezdeti végrehajtásához a futásidejű argumentum szükséges telepíteni, amely nélkül a Szponzor kecsesen kilép, valószínűleg egy egyszerű anti-emuláció/anti-sandbox technika. Ha ezt az argumentumot átadja, a szponzor létrehoz egy nevű szolgáltatást SystemNetwork (a v1) És Frissítések (az összes többi verzióban). Beállítja a szolgáltatást Indítás típusa nak nek Automatikus, és beállítja a saját szponzori folyamat futtatására, és teljes hozzáférést biztosít neki. Ezután elindítja a szolgáltatást.

A jelenleg szolgáltatásként futó Szponzor megpróbálja megnyitni a korábban lemezen elhelyezett, fent említett konfigurációs fájlokat. Azt keresi config.txt és a node.txt, mindkettő az aktuális munkakönyvtárban. Ha az első hiányzik, a szponzor a szolgáltatást erre állítja be megállt és kecsesen kilép.

Hátsó ajtó konfiguráció

Szponzor konfigurációja, tárolva config.txt, két mezőt tartalmaz:

• Frissítési intervallum másodpercben, amely időnként felveszi a kapcsolatot a C&C szerverrel parancsokért.
• A C&C szerverek listája relék a szponzor binárisaiban.

A C&C szerverek titkosítva vannak tárolva (RC4), és a visszafejtési kulcs a kód első sorában található. config.txt. Mindegyik mező, beleértve a visszafejtési kulcsot is, a megjelenített formátummal rendelkezik  REF _Ref142647636 h Ábra 3
.

Ezek az almezők:

• config_start: hosszát jelzi config_name, ha van, vagy nulla, ha nincs. A hátsó ajtó használta, hogy tudja, hol config_data megkezdődik.
• config_len: hossza config_data.
• config_name: nem kötelező, a konfigurációs mezőnek adott nevet tartalmazza.
• config_data: maga a konfiguráció, titkosítva (C&C szerverek esetén) vagy nem (az összes többi mező).

 REF _Ref142648473 h Ábra 4
példát mutat be egy lehetséges színkódolt tartalommal config.txt fájlt. Vegye figyelembe, hogy ez nem egy tényleges fájl, amelyet megfigyeltünk, hanem egy kitalált példa.

Az utolsó két mezőben config.txt RC4-gyel vannak titkosítva, a megadott visszafejtési kulcs SHA-256 hash-jének karakterlánc reprezentációját használva kulcsként az adatok titkosításához. Látjuk, hogy a titkosított bájtok hexadecimálisan ASCII-szövegként vannak tárolva.

Gazdainformáció gyűjtése

A szponzor információkat gyűjt arról a gazdagépről, amelyen fut, az összes összegyűjtött információt jelenti a C&C szervernek, és kap egy csomópontazonosítót, amely a node.txt.  REF _Ref142653641 h Táblázat 4
REF _Ref112861575 h
 felsorolja azokat a kulcsokat és értékeket a Windows rendszerleíró adatbázisában, amelyeket a szponzor az információk lekéréséhez használ, és példát mutat az összegyűjtött adatokra.

4. táblázat: A szponzor által gyűjtött információk

Nyilvántartó kulcs	Érték	Példa
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters	Hostname	D-835MK12
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTimeZoneInformation	TimeZoneKeyName	Izraeli szabványidő
HKEY_USERS.DEFAULTControl PanelInternational	LocaleName	he-IL
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONS rendszerBIOS	BaseBoardProduct	10NX0010IL
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessor	ProcessorNameString	Intel (R) Core i7-8565U CPU @ 1.80GHz
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion	Termék név	Windows 10 Enterprise N
	CurrentVersion	6.3
	CurrentBuildNumber	19044
	Telepítés típusa	Vásárló

A szponzor a gazdagép Windows-tartományát is összegyűjti a következő módon WMIC parancs:

wmic számítógéprendszer kap domaint

Végül a szponzor Windows API-kat használ az aktuális felhasználónév (GetUserNameW), határozza meg, hogy az aktuális szponzori folyamat 32 vagy 64 bites alkalmazásként fut-e (GetCurrentProcess, Akkor IsWow64 Process (jelenlegi folyamat)), és meghatározza, hogy a rendszer akkumulátorról működik-e, vagy AC vagy DC áramforráshoz csatlakozik (GetSystemPowerStatus).

A 32 vagy 64 bites alkalmazásellenőrzés egyik furcsasága az, hogy a szponzor összes megfigyelt mintája 32 bites volt. Ez azt jelentheti, hogy a következő szakasz egyes eszközeihez szükség van erre az információra.

Az összegyűjtött információ egy base64 kódolású üzenetben kerül elküldésre, amely a kódolás előtt ezzel kezdődik r és a látható formátummal rendelkezik  REF _Ref142655224 h Ábra 5
.

Az információt RC4 titkosítja, a titkosítási kulcs pedig egy, a helyszínen generált véletlenszám. A kulcs kivonatolása az MD5 algoritmussal történik, nem pedig az SHA-256 algoritmussal, ahogy korábban említettük. Ez minden olyan kommunikációra vonatkozik, ahol a Szponzornak titkosított adatokat kell küldenie.

A C&C szerver egy számmal válaszol, amelyet a későbbi kommunikáció során az áldozattá vált számítógép azonosítására használnak, és amelyre írnak node.txt. Vegye figyelembe, hogy a C&C szerver véletlenszerűen kerül kiválasztásra a listából, amikor a r üzenetet küldenek, és ugyanazt a szervert használják minden további kommunikációban.

Parancsfeldolgozási hurok

A szponzor ciklusban kéri a parancsokat, a ben meghatározott intervallum szerint alszik config.txt. A lépések a következők:

1. Küldeni egy chk=Teszt üzenetet ismételten, amíg a C&C szerver nem válaszol Ok.
2. Küldeni egy c (IS_CMD_AVAIL) üzenetet küld a C&C szervernek, és kap egy operátori parancsot.
3. A parancs feldolgozása.
   • Ha van kimenet, amelyet el kell küldeni a C&C szervernek, küldjön egy a (ACK) üzenet, beleértve a kimenetet (titkosított), vagy
   • Ha a végrehajtás sikertelen, küldjön egy f (NEM SIKERÜLT) üzenetet. A hibaüzenet nem kerül elküldésre.
4. Aludj.

A c üzenetet küldünk, hogy parancsot kérjen a végrehajtáshoz, és a formátuma (a base64 kódolás előtt) látható  REF _Ref142658017 h Ábra 6
.

A titkosított_none Az ábrán látható mező a keménykódolt karakterlánc titkosításának eredménye Egyik sem RC4-el. A titkosítás kulcsa az MD5 hash of csomópont_azonosító.

A C&C szerverrel való kapcsolatfelvételhez használt URL a következőképpen épül fel: http://<IP_or_domain>:80. Ez arra utalhat 37.120.222[.]168:80 az egyetlen C&C szerver, amelyet a szponzorálási hozzáférési kampány során használnak, mivel ez volt az egyetlen IP-cím, amelyet megfigyeltünk, hogy az áldozat gépei elérik a 80-as portot.

Kezelői parancsok

A kezelői parancsok körvonalazódnak  REF _Ref112861551 h Táblázat 5
és abban a sorrendben jelennek meg, ahogyan a kódban megtalálhatók. A C&C szerverrel való kommunikáció a 80-as porton keresztül történik.

5. táblázat: Kezelői parancsok és leírások

parancs	Leírás
p	Elküldi a folyamatazonosítót a futó szponzori folyamathoz.
e	Parancsot hajt végre a következő további argumentumban megadottak szerint a szponzor gazdagépen a következő karakterlánc használatával: c:windowssystem32cmd.exe /c    > eredmény.txt 2>&1 Az eredményeket a rendszer tárolja eredmény.txt az aktuális munkakönyvtárban. Küld egy a sikeres végrehajtás esetén üzenetet küld a titkosított kimenettel a C&C szervernek. Ha sikertelen, küld egy f üzenetet (a hiba megadása nélkül).
d	Fogad egy fájlt a C&C szervertől, és végrehajtja azt. Ennek a parancsnak számos argumentuma van: a célfájlnév, amelybe a fájlt írjuk, a fájl MD5-kivonata, egy könyvtár, amelybe a fájl írható (vagy alapértelmezés szerint az aktuális munkakönyvtár), egy logikai érték, amely jelzi, hogy futtatni kell-e a fájlt, vagy nem, és a futtatható fájl tartalma, base64 kódolású. Ha nem történik hiba, egy a üzenetet küld a C&C szervernek A fájl sikeres feltöltése és végrehajtása or A fájl sikeresen feltöltése végrehajtás nélkül (titkosított). Ha hiba történik a fájl végrehajtása során, egy f üzenet elküldve. Ha a fájl tartalmának MD5 hash-je nem egyezik a megadott hash-sel, egy e (CRC_ERROR) üzenetet küld a C&C szervernek (csak a használt titkosítási kulcsot tartalmazza, egyéb információkat nem). A kifejezés használata Feltöltés ez potenciálisan zavaró, mivel a Ballistic Bobcat operátorok és kódolók a szerver oldaláról veszik a nézőpontot, míg sokan ezt úgy tekinthetik, mint egy letöltést, amely azon alapul, hogy a rendszer a szponzor hátsó ajtón keresztül lehúzza (vagyis letölti) a fájlt.
u	Megkísérli a fájl letöltését a URLDownloadFileW Windows API-t, és futtassa. A siker elküld egy a üzenetet a használt titkosítási kulccsal, és nincs más információ. Hiba küld egy f hasonló szerkezetű üzenetet.
s	A lemezen már lévő fájlt végrehajtja, Uninstall.bat az aktuális munkakönyvtárban, amely valószínűleg parancsokat tartalmaz a hátsó ajtóhoz kapcsolódó fájlok törlésére.
n	Ezt a parancsot kifejezetten megadhatja egy operátor, vagy a Szponzor kikövetkeztetheti, mint a parancsot, amelyet más parancs hiányában végre kell hajtani. A szponzoron belül mint NO_CMD, véletlenszerű alvást hajt végre, mielőtt ismét bejelentkezik a C&C szerverre.
b	Frissíti az itt tárolt C&C-k listáját config.txt az aktuális munkakönyvtárban. Az új C&C címek felváltják a korábbiakat; nem kerülnek fel a listára. Küld egy a üzenetet vele Az új relék sikeresen cserélve (titkosítva) a C&C szerverhez, ha a frissítés sikeres volt.
i	Frissíti az előre meghatározott bejelentkezési időközt, amely a következő helyen szerepel: config.txt. Küld egy a üzenetet vele Az új intervallum sikeresen cserélve sikeres frissítés esetén a C&C szerverre.

A szponzor frissítései

A Ballistic Bobcat kódolók módosították a kódot a szponzor v1 és v2 között. Az utóbbi két legjelentősebb változása:

• A kód optimalizálása, ahol több hosszabb függvényt funkciókká és alfunkciókká minimalizáltak, ill
• A szponzor frissítési programként való álcázása a következő üzenettel a szolgáltatás konfigurációjában:

Az alkalmazásfrissítések nagyszerűek mind az alkalmazásfelhasználók, mind az alkalmazások számára – a frissítések azt jelentik, hogy a fejlesztők folyamatosan dolgoznak az alkalmazás fejlesztésén, szem előtt tartva a jobb felhasználói élményt minden frissítéssel.

Hálózati infrastruktúra

A PowerLess kampányban használt C&C infrastruktúrán való „piggybacking” mellett a Ballistic Bobcat egy új C&C szervert is bemutatott. A csoport több IP-címet is használt a támogatási eszközök tárolására és szállítására a szponzorálási hozzáférési kampány során. Megerősítettük, hogy jelenleg egyik IP-cím sem működik.

Következtetés

A Ballistic Bobcat továbbra is szkennelés és kiaknázási modell alapján működik, és olyan lehetőségeket keres, amelyek javítatlan sebezhetőségei vannak az internetre kitett Microsoft Exchange szervereken. A csoport továbbra is változatos nyílt forráskódú eszközkészletet használ, amelyet számos egyedi alkalmazás egészít ki, beleértve a szponzori hátsó ajtót. A védőknek azt tanácsolják, hogy javítsanak minden internetes eszközt, és vigyázzanak a szervezetükben felbukkanó új alkalmazásokra.

Ha bármilyen kérdése van a WeLiveSecurity-n közzétett kutatásunkkal kapcsolatban, forduljon hozzánk a következő címen veszélyintel@eset.com.
Az ESET Research privát APT intelligenciajelentéseket és adatfolyamokat kínál. Ha bármilyen kérdése van a szolgáltatással kapcsolatban, keresse fel a ESET Threat Intelligence cimre.

IoCs

Fájlok

SHA-1	Filename	Érzékelés	Leírás
098B9A6CE722311553E1D8AC5849BA1DC5834C52	N / A	Win32/Agent.UXG	Ballistic Bobcat hátsó ajtó, szponzor (v1).
5AEE3C957056A8640041ABC108D0B8A3D7A02EBD	N / A	Win32/Agent.UXG	Ballistic Bobcat hátsó ajtó, szponzor (v2).
764EB6CA3752576C182FC19CFF3E86C38DD51475	N / A	Win32/Agent.UXG	Ballistic Bobcat hátsó ajtó, szponzor (v3).
2F3EDA9D788A35F4C467B63860E73C3B010529CC	N / A	Win32/Agent.UXG	Ballistic Bobcat hátsó ajtó, szponzor (v4).
E443DC53284537513C00818392E569C79328F56F	N / A	Win32/Agent.UXG	Ballistic Bobcat hátsó ajtó, szponzor (v5, más néven Alumina).
C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61	N / A	WinGo/Agent.BT	RevSocks fordított alagút.
39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6	N / A	ragadozó ölyv	ProcDump, egy parancssori segédprogram alkalmazások figyelésére és összeomlási kiíratások generálására.
A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A	N / A	Generik.EYWYQYF	Mimikatz.
5D60C8507AC9B840A13FFDF19E3315A3E14DE66A	N / A	WinGo/Riskware.Gost.D	GO Simple Tunnel (GOST).
50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617	N / A	WinGo/HackTool.Chisel.A	Véső fordított alagút.
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252	N / A	N / A	Host2IP felfedező eszköz.
519CA93366F1B1D71052C6CE140F5C80CE885181	N / A	Win64/Packed.Enigma.BV	RevSocks alagút, az Enigma Protector szoftver próbaverziójával védett.
4709827C7A95012AB970BF651ED5183083366C79	N / A	N / A	Plink (PuTTY Link), egy parancssori csatlakozási eszköz.
99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8	N / A	Win32/PSWTool.WebBrowserPassView.I	Jelszó-helyreállító eszköz a webböngészőkben tárolt jelszavakhoz.
E52AA118A59502790A4DD6625854BD93C0DEAF27	N / A	MSIL/HackTool.SQLDump.A	Eszköz az SQL-adatbázisokkal való interakcióhoz és adatok kinyeréséhez.

 

Fájl elérési utak

Az alábbiakban felsoroljuk azokat az útvonalakat, ahol a szponzor hátsó ajtót az áldozattá vált gépeken telepítették.

%SYSTEMDRIVE%inetpubwwwrootaspnet_client

%USERPROFILE%AppDataLocalTempfile

%USERPROFILE%AppDataLocalTemp2low

%USERPROFILE%Asztali

%USERPROFILE%Letöltéseka

% WINDIR%

%WINDIR%INFMSExchange Delivery DSN

%WINDIR%Feladatok

%WINDIR%Temp%WINDIR%Tempcrashpad1Files

Hálózat

IP	Provider	Először látott	Utoljára	Részletek
162.55.137[.]20	Hetzner Online GMBH	2021-06-14	2021-06-15	Powerless C&C.
37.120.222[.]168	M247 LTD	2021-11-28	2021-12-12	A C&C szponzora.
198.144.189[.]74	Colocrossing	2021-11-29	2021-11-29	Támogatási eszközök letöltési oldala.
5.255.97[.]172	Az Infrastructure Group BV	2021-09-05	2021-10-28	Támogatási eszközök letöltési oldala.

Ez a táblázat felhasználásával készült 13 verzió a MITER ATT&CK keretrendszer.

taktika	ID	Név	Leírás
Felderítés	T1595	Aktív vizsgálat: Sebezhetőségi vizsgálat	A Ballistic Bobcat megkeresi a Microsoft Exchange Server sérülékeny verzióit, hogy kihasználja őket.
Erőforrás-fejlesztés	T1587.001	Fejlesztési képességek: Malware	A Ballistic Bobcat tervezte és kódolta a szponzor hátsó ajtót.
	T1588.002	Képességek beszerzése: Eszköz	A Ballistic Bobcat különféle nyílt forráskódú eszközöket használ a Sponsoring Access kampány részeként.
Kezdeti hozzáférés	T1190	Használja ki a nyilvános alkalmazást	A ballisztikus Bobcat az internetre kitett célpontok  Microsoft Exchange szerverek.
Végrehajtás	T1059.003	Parancs- és parancsfájl értelmező: Windows Command Shell	A szponzor hátsó ajtó a Windows parancshéjat használja a parancsok végrehajtására az áldozat rendszerén.
	T1569.002	Rendszerszolgáltatások: Szolgáltatás végrehajtása	A szponzor hátsó ajtó szolgáltatásként állítja be magát, és a szolgáltatás végrehajtása után indítja el elsődleges funkcióit.
Kitartás	T1543.003	Rendszerfolyamat létrehozása vagy módosítása: Windows szolgáltatás	A szponzor fenntartja a kitartást azáltal, hogy olyan szolgáltatást hoz létre, amely automatikusan indul, és amely ciklusban hajtja végre az elsődleges funkcióit.
Privilege eszkaláció	T1078.003	Érvényes fiókok: Helyi fiókok	A Ballistic Bobcat operátorok megpróbálják ellopni az érvényes felhasználók hitelesítő adatait, miután kezdetben kihasználták a rendszert, mielőtt a szponzor hátsó ajtót telepítenék.
Védelmi kijátszás	T1140	Fájlok vagy információk deobfuszkálása/dekódolása	A szponzor titkosított és obfuszkált információkat tárol a lemezen, és futás közben deobfuszkálja azokat.
	T1027	Elhomályosított fájlok vagy információk	A szponzori hátsó ajtóhoz szükséges konfigurációs fájlok a lemezen titkosítottak és obfuszkáltak.
	T1078.003	Érvényes fiókok: Helyi fiókok	A szponzor rendszergazdai jogosultságokkal fut, valószínűleg az operátorok által a lemezen talált hitelesítő adatok használatával; A Ballistic Bobcat ártalmatlan elnevezési konvenciói mellett ez lehetővé teszi a szponzor számára, hogy beleolvadjon a háttérbe.
Hitelesítési adatok hozzáférése	T1555.003	Hitelesítési adatok a Jelszóboltokból: Hitelesítési adatok a webböngészőkből	A Ballistic Bobcat üzemeltetői nyílt forráskódú eszközöket használnak a hitelesítő adatok ellopására a webböngészőkben található jelszótárolókból.
Felfedezés	T1018	Távoli rendszerfelderítés	A Ballistic Bobcat az Agrius által korábban használt Host2IP eszközt használja, hogy más rendszereket fedezzen fel az elérhető hálózatokon belül, és korrelálja azok gazdagépnevét és IP-címét.
Vezetési és Irányítási	T1001	Adatok elhomályosítása	A szponzor hátsó ajtó elhomályosítja az adatokat, mielőtt elküldi azokat a C&C szervernek.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Autóipar / elektromos járművek, Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• ChartPrime. Emelje fel kereskedési játékát a ChartPrime segítségével. Hozzáférés itt.
• BlockOffsets. A környezetvédelmi ellentételezési tulajdon korszerűsítése. Hozzáférés itt.
• Forrás: https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/