Sponsor dengan kumis yang diajukan secara batch: Pemindaian Bobcat Balistik dan serangan pintu belakang

Peneliti ESET menemukan kampanye Ballistic Bobcat yang menargetkan berbagai entitas di Brasil, Israel, dan Uni Emirat Arab, menggunakan pintu belakang baru yang kami beri nama Sponsor.

Kami menemukan Sponsor setelah menganalisis sampel menarik yang kami deteksi pada sistem korban di Israel pada Mei 2022 dan mencakup korban berdasarkan negara. Setelah diperiksa, menjadi jelas bagi kami bahwa sampel tersebut adalah pintu belakang baru yang digunakan oleh kelompok APT Balistik Bobcat.

Ballistic Bobcat, yang sebelumnya dilacak oleh ESET Research sebagai APT35/APT42 (alias Charming Kitten, TA453, atau PHOSPHORUS), dicurigai sebagai Kelompok ancaman persisten tingkat lanjut yang berpihak pada Iran yang menargetkan organisasi pendidikan, pemerintah, dan layanan kesehatan, serta aktivis hak asasi manusia dan jurnalis. Kelompok ini paling aktif di Israel, Timur Tengah, dan Amerika Serikat. Khususnya, selama pandemi, program ini menargetkan organisasi terkait COVID-19, termasuk Organisasi Kesehatan Dunia dan Gilead Pharmaceuticals, serta personel penelitian medis.

Tumpang tindih antara kampanye Ballistic Bobcat dan versi pintu belakang Sponsor menunjukkan pola pengembangan dan penerapan alat yang cukup jelas, dengan kampanye yang ditargetkan secara sempit, masing-masing dengan durasi terbatas. Kami kemudian menemukan empat versi lain dari pintu belakang Sponsor. Secara total, kami melihat Sponsor dikerahkan ke setidaknya 34 korban di Brasil, Israel, dan Uni Emirat Arab, sebagaimana diuraikan dalam  REF _Ref143075975 jam Angka 1
.

Poin-poin penting dari blogpost ini:

• Kami menemukan pintu belakang baru yang digunakan oleh Ballistic Bobcat yang kemudian kami beri nama Sponsor.
• Ballistic Bobcat menerapkan pintu belakang baru pada bulan September 2021, saat menyelesaikan kampanye yang didokumentasikan dalam CISA Alert AA21-321A dan kampanye PowerLess.
• Pintu belakang Sponsor menggunakan file konfigurasi yang disimpan di disk. File-file ini secara diam-diam disebarkan oleh file batch dan sengaja dirancang agar tampak tidak berbahaya, sehingga berusaha menghindari deteksi oleh mesin pemindai.
• Sponsor dikerahkan untuk setidaknya 34 korban di Brazil, Israel, dan Uni Emirat Arab; kami menamakan kegiatan ini kampanye Akses Sponsor.

Akses awal

Ballistic Bobcat memperoleh akses awal dengan mengeksploitasi kerentanan yang diketahui di server Microsoft Exchange yang terekspos internet dengan terlebih dahulu melakukan pemindaian sistem atau jaringan secara cermat untuk mengidentifikasi potensi kelemahan atau kerentanan, dan selanjutnya menargetkan dan mengeksploitasi kelemahan yang teridentifikasi. Kelompok tersebut telah diketahui terlibat dalam perilaku ini selama beberapa waktu. Namun, banyak dari 34 korban yang diidentifikasi dalam telemetri ESET mungkin lebih tepat digambarkan sebagai korban peluang, bukan korban yang telah dipilih dan diteliti, karena kami menduga Ballistic Bobcat terlibat dalam perilaku pemindaian dan eksploitasi yang dijelaskan di atas karena hal tersebut bukan satu-satunya ancaman. aktor yang mempunyai akses terhadap sistem ini. Kami menamakan aktivitas Bobcat Balistik ini dengan memanfaatkan pintu belakang Sponsor sebagai kampanye Akses Sponsor.

Pintu belakang Sponsor menggunakan file konfigurasi pada disk, dimasukkan ke dalam file batch, dan keduanya tidak berbahaya untuk melewati mesin pemindaian. Pendekatan modular ini adalah pendekatan yang sering digunakan Ballistic Bobcat dan cukup berhasil dalam dua setengah tahun terakhir. Pada sistem yang disusupi, Ballistic Bobcat juga terus menggunakan berbagai alat sumber terbuka, yang kami jelaskan – bersama dengan pintu belakang Sponsor – di postingan blog ini.

Victimology

Mayoritas dari 34 korban berada di Israel, dan hanya dua yang berlokasi di negara lain:

• Brazil, di koperasi medis dan operator asuransi kesehatan, dan
• Uni Emirat Arab, di sebuah organisasi tak dikenal.

 REF _Ref112861418 jam tabel 1
menggambarkan vertikal, dan rincian organisasi, untuk para korban di Israel.

tabel  Tabel SEQ * ARAB 1. Detail vertikal dan organisasi untuk para korban di Israel

Vertikal	Rincian
Otomotif	·       Sebuah perusahaan otomotif yang mengkhususkan diri pada modifikasi custom. ·       Perusahaan perbaikan dan pemeliharaan otomotif.
komunikasi	·       Sebuah outlet media Israel.
Teknik	·       Sebuah perusahaan teknik sipil. ·       Sebuah perusahaan teknik lingkungan. ·       Sebuah firma desain arsitektur.
Jasa keuangan	·       Perusahaan jasa keuangan yang berspesialisasi dalam konseling investasi. ·       Perusahaan yang mengelola royalti.
Kesehatan	·       Penyedia layanan medis.
Asuransi	·       Perusahaan asuransi yang mengoperasikan pasar asuransi. ·       Sebuah perusahaan asuransi komersial.
Hukum	·       Sebuah firma yang berspesialisasi dalam hukum medis.
Manufaktur	·       Beberapa perusahaan manufaktur elektronik. ·       Perusahaan yang memproduksi produk komersial berbahan dasar logam. ·       Sebuah perusahaan manufaktur teknologi multinasional.
Retail	·       Sebuah pengecer makanan. ·       Pengecer berlian multinasional. ·       Pengecer produk perawatan kulit. ·       Pengecer dan pemasang perawatan jendela. ·       Pemasok suku cadang elektronik global. ·       Pemasok kontrol akses fisik.
Teknologi	·       Sebuah perusahaan teknologi layanan IT. ·       Penyedia solusi TI.
Telekomunikasi	·       Sebuah perusahaan telekomunikasi.
Tidak teridentifikasi	·       Beberapa organisasi tak dikenal.

Atribusi

Pada bulan Agustus 2021, korban Israel di atas yang mengoperasikan pasar asuransi diserang oleh Ballistic Bobcat dengan peralatannya CISA dilaporkan pada November 2021. Indikator kompromi yang kami amati adalah:

• Jadwal Pembaruan MicrosoftOutlook,
• MicrosoftOutlookUpdateSchedule.xml,
• Manajemen Perubahan Google, dan
• GoogleChangeManagement.xml.

Alat Balistik Bobcat dikomunikasikan dengan server perintah dan kontrol (C&C) yang sama seperti dalam laporan CISA: 162.55.137[.]20.

Kemudian, pada bulan September 2021, korban yang sama menerima alat Ballistic Bobcat generasi berikutnya: the Pintu belakang yang tidak berdaya dan perangkat pendukungnya. Indikator kompromi yang kami amati adalah:

• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/dll.dll,
• windowsproses.exe, dan
• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/windowsprocesses.exe.

Pada tanggal 18^th, 2021, grup tersebut kemudian menerapkan alat lain (Plink) yang tercakup dalam laporan CISA, seperti MicrosoftOutLookUpdater.exe. Sepuluh hari kemudian, pada tanggal 28 November^th, 2021, Bobcat Balistik mengerahkan Agen Merlin (bagian agen dari an Server dan agen C&C pasca-eksploitasi sumber terbuka yang ditulis dalam Go). Di disk, agen Merlin ini diberi nama googleUpdate.exe, menggunakan konvensi penamaan yang sama seperti yang dijelaskan dalam laporan CISA untuk bersembunyi di depan mata.

Agen Merlin mengeksekusi shell terbalik Meterpreter yang memanggil kembali ke server C&C baru, 37.120.222[.]168:80. Pada 12 Desember^th, 2021, shell terbalik menjatuhkan file batch, instal.bat, dan dalam beberapa menit setelah mengeksekusi file batch, operator Ballistic Bobcat mendorong pintu belakang terbaru mereka, Sponsor. Ini akan menjadi versi ketiga dari pintu belakang.

Analisis teknis

Akses awal

Kami dapat mengidentifikasi kemungkinan cara akses awal untuk 23 dari 34 korban yang kami amati dalam telemetri ESET. Mirip dengan apa yang diberitakan di Kurang daya dan CISA laporan, Ballistic Bobcat mungkin mengeksploitasi kerentanan yang diketahui, CVE-2021-26855, di server Microsoft Exchange untuk mendapatkan pijakan pada sistem ini.

Bagi 16 dari 34 korban, tampaknya Ballistic Bobcat bukanlah satu-satunya pelaku ancaman yang memiliki akses ke sistem mereka. Hal ini mungkin menunjukkan, seiring dengan banyaknya korban yang beragam dan kurangnya nilai intelijen dari beberapa korban, bahwa Ballistic Bobcat terlibat dalam perilaku pemindaian dan eksploitasi, dibandingkan dengan kampanye yang ditargetkan terhadap korban yang telah dipilih sebelumnya.

Toolset

Alat sumber terbuka

Ballistic Bobcat menggunakan sejumlah alat sumber terbuka selama kampanye Akses Sponsor. Alat-alat tersebut dan fungsinya tercantum di  REF _Ref112861458 jam tabel 2
.

tabel  Tabel SEQ * ARAB 2. Alat sumber terbuka yang digunakan oleh Ballistic Bobcat

Filename	Deskripsi Produk
host2ip.exe	Peta a nama host ke alamat IP dalam jaringan lokal.
CSRSS.EXE	RevSocks, aplikasi terowongan terbalik.
mi.exe	Mimikatz, dengan nama file asli midongle.exe dan dikemas dengan Pengemas Armadillo PE.
gost.exe	GO Terowongan Sederhana (GOST), aplikasi penerowongan yang ditulis dalam Go.
pahat.exe	Pahat, terowongan TCP/UDP melalui HTTP menggunakan lapisan SSH.
csrss_protected.exe	Terowongan RevSocks, dilindungi dengan versi uji coba Perlindungan perangkat lunak Enigma Protector.
plink.exe	Plink (PuTTY Link), alat koneksi baris perintah.
WebBrowserPassView.exe	A alat pemulihan kata sandi untuk kata sandi yang disimpan di browser web.
sqltractor.exe	A alat untuk berinteraksi dengan, dan mengekstrak data dari, database SQL.
procdump64.exe	ProcDump, Sebuah  Utilitas baris perintah Sysinternals untuk memantau aplikasi dan menghasilkan crash dump.

File batch

Ballistic Bobcat menyebarkan file batch ke sistem korban beberapa saat sebelum menerapkan pintu belakang Sponsor. Jalur file yang kami ketahui adalah:

• C:inetpubwwwrootaspnet_clientInstall.bat
• %USERPROFILE%DesktopInstall.bat
• %WINDOWS%TugasInstal.bat

Sayangnya, kami tidak dapat memperoleh file batch apa pun ini. Namun, kami yakin mereka menulis file konfigurasi yang tidak berbahaya ke disk, yang diperlukan oleh pintu belakang Sponsor agar dapat berfungsi sepenuhnya. Nama file konfigurasi ini diambil dari pintu belakang Sponsor tetapi tidak pernah dikumpulkan:

• config.txt
• simpul.txt
• kesalahan.txt
• Copot pemasangan.bat

Kami percaya bahwa file batch dan file konfigurasi adalah bagian dari proses pengembangan modular yang disukai Ballistic Bobcat selama beberapa tahun terakhir.

Pintu belakang sponsor

Pintu belakang sponsor ditulis dalam C++ dengan stempel waktu kompilasi dan jalur Database Program (PDB) seperti yang ditunjukkan pada  REF _Ref112861527 jam tabel 3
. Catatan tentang nomor versi: kolom Versi mewakili versi yang kami lacak secara internal berdasarkan perkembangan linier pintu belakang Sponsor tempat perubahan dilakukan dari satu versi ke versi berikutnya. Itu Versi internal Kolom berisi nomor versi yang diamati di setiap pintu belakang Sponsor dan disertakan untuk memudahkan perbandingan saat memeriksa sampel ini dan sampel Sponsor potensial lainnya.

tabel 3. Stempel waktu kompilasi dan PDB sponsor

Versi	Versi internal	Stempel waktu kompilasi	PDB
1	1.0.0	2021-08-29 09:12:51	D:TempBD_Plus_SrvcReleaseBD_Plus_Srvc.pdb
2	1.0.0	2021-10-09 12:39:15	D:TempSponsorReleaseSponsor.pdb
3	1.4.0	2021-11-24 11:51:55	D:TempSponsorReleaseSponsor.pdb
4	2.1.1	2022-02-19 13:12:07	D:TempSponsorReleaseSponsor.pdb
5	1.2.3.0	2022-06-19 14:14:13	D:TempAluminaReleaseAlumina.pdb

Eksekusi awal Sponsor memerlukan argumen runtime install, yang tanpanya Sponsor akan keluar dengan anggun, kemungkinan merupakan teknik anti-emulasi/anti-sandbox yang sederhana. Jika argumen tersebut lolos, Sponsor membuat layanan bernama Jaringan Sistem (di v1) Dan Memperbarui (di semua versi lainnya). Ini mengatur layanan Jenis startup untuk secara otomatis, dan mengaturnya untuk menjalankan proses Sponsornya sendiri, dan memberinya akses penuh. Ini kemudian memulai layanan.

Sponsor, yang sekarang berjalan sebagai layanan, mencoba membuka file konfigurasi yang disebutkan di atas yang sebelumnya ditempatkan pada disk. Itu mencari config.txt dan simpul.txt, keduanya di direktori kerja saat ini. Jika yang pertama tidak ada, Sponsor menyetel layanan ke Terhenti dan keluar dengan anggun.

Konfigurasi pintu belakang

Konfigurasi sponsor, disimpan di config.txt, berisi dua bidang:

• Interval pembaruan, dalam hitungan detik, untuk menghubungi server C&C secara berkala untuk mendapatkan perintah.
• Daftar server C&C, disebut sebagai relay dalam biner Sponsor.

Server C&C disimpan terenkripsi (RC4), dan kunci dekripsi ada di baris pertama config.txt. Masing-masing bidang, termasuk kunci dekripsi, memiliki format yang ditunjukkan  REF _Ref142647636 jam Angka 3
.

Subbidang ini adalah:

• config_start: menunjukkan panjangnya config_name, jika ada, atau nol, jika tidak. Digunakan oleh pintu belakang untuk mengetahui di mana config_data dimulai.
• config_len: panjang dari config_data.
• config_name: opsional, berisi nama yang diberikan untuk bidang konfigurasi.
• config_data: konfigurasi itu sendiri, terenkripsi (untuk server C&C) atau tidak (semua kolom lainnya).

 REF _Ref142648473 jam Angka 4
menunjukkan contoh dengan konten berkode warna yang memungkinkan config.txt mengajukan. Perhatikan bahwa ini bukan file sebenarnya yang kami amati, namun contoh palsu.

Dua bidang terakhir di config.txt dienkripsi dengan RC4, menggunakan representasi string hash SHA-256 dari kunci dekripsi yang ditentukan, sebagai kunci untuk mengenkripsi data. Kami melihat bahwa byte terenkripsi disimpan dengan kode hex sebagai teks ASCII.

Selenggarakan pengumpulan informasi

Sponsor mengumpulkan informasi tentang host yang menjalankannya, melaporkan semua informasi yang dikumpulkan ke server C&C, dan menerima ID node, yang ditulis ke simpul.txt.  REF _Ref142653641 jam tabel 4
REF _Ref112861575 jam
 mencantumkan kunci dan nilai dalam registri Windows yang digunakan Sponsor untuk mendapatkan informasi, dan memberikan contoh data yang dikumpulkan.

Tabel 4. Informasi yang dikumpulkan oleh Sponsor

Kunci registri	Nilai	Contoh
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters	hostname	D-835MK12
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTimeZoneInformation	NamaKeyZoneKeyName	Waktu Standar Israel
HKEY_USERS.DEFAULTPanel KontrolInternasional	Nama Lokal	dia-IL
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSistemBIOS	Produk Papan Dasar	10NX0010IL
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessor	Nama ProsesorString	CPU Intel(R) Core(TM) i7-8565U @ 1.80GHz
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion	Nama Produk	Windows 10 Enterprise WANITA
	CurrentVersion	6.3
	NomorBangun Saat Ini	19044
	Tipe Instalasi	Pelanggan

Sponsor juga mengumpulkan domain Windows host dengan menggunakan yang berikut ini WMIC perintah:

sistem komputer wmic mendapatkan domain

Terakhir, Sponsor menggunakan API Windows untuk mengumpulkan nama pengguna saat ini (Dapatkan NamaPenggunaW), tentukan apakah proses Sponsor saat ini berjalan sebagai aplikasi 32 atau 64-bit (Dapatkan Proses Saat Ini, kemudian Proses IsWow64 (Proses Saat Ini)), dan menentukan apakah sistem berjalan dengan daya baterai atau terhubung ke sumber daya AC atau DC (DapatkanSystemPowerStatus).

Satu keanehan mengenai pemeriksaan aplikasi 32 atau 64-bit adalah bahwa semua sampel Sponsor yang diamati adalah 32-bit. Ini mungkin berarti bahwa beberapa alat tahap berikutnya memerlukan informasi ini.

Informasi yang dikumpulkan dikirim dalam pesan berkode base64 yang, sebelum dikodekan, dimulai dengan r dan memiliki format yang ditunjukkan di  REF _Ref142655224 jam Angka 5
.

Informasi tersebut dienkripsi dengan RC4, dan kunci enkripsinya adalah nomor acak yang dihasilkan saat itu juga. Kuncinya di-hash dengan algoritma MD5, bukan SHA-256 seperti yang disebutkan sebelumnya. Hal ini berlaku untuk semua komunikasi yang mengharuskan Sponsor mengirimkan data terenkripsi.

Server C&C membalas dengan nomor yang digunakan untuk mengidentifikasi komputer yang menjadi korban dalam komunikasi selanjutnya, yang dituliskan ke dalamnya simpul.txt. Perhatikan bahwa server C&C dipilih secara acak dari daftar ketika r pesan dikirim, dan server yang sama digunakan dalam semua komunikasi berikutnya.

Lingkaran pemrosesan perintah

Sponsor meminta perintah dalam satu lingkaran, tidur sesuai dengan interval yang ditentukan dalam config.txt. Langkah-langkahnya adalah:

1. Kirim chk=Uji pesan berulang kali, hingga server C&C membalas Ok.
2. Kirim c (IS_CMD_AVAIL) pesan ke server C&C, dan menerima perintah operator.
3. Proses perintahnya.
   • Jika ada output yang ingin dikirim ke server C&C, kirimkan a (ACK) pesan, termasuk output (terenkripsi), atau
   • Jika eksekusi gagal, kirimkan f (GAGAL) pesan. Pesan kesalahan tidak terkirim.
4. Tidur.

Grafik c pesan dikirim untuk meminta perintah untuk dieksekusi, dan memiliki format (sebelum pengkodean base64) yang ditunjukkan  REF _Ref142658017 jam Angka 6
.

Grafik terenkripsi_tidak ada field pada gambar adalah hasil enkripsi string hardcoded None dengan RC4. Kunci untuk enkripsi adalah hash MD5 simpul_id.

URL yang digunakan untuk menghubungi server C&C dibuat sebagai: http://<IP_or_domain>:80. Ini mungkin menunjukkan hal itu 37.120.222[.]168:80 adalah satu-satunya server C&C yang digunakan selama kampanye Akses Sponsor, karena ini adalah satu-satunya alamat IP yang kami amati dijangkau oleh mesin korban pada port 80.

Perintah operator

Perintah operator digambarkan dalam  REF _Ref112861551 jam tabel 5
dan muncul sesuai urutan penemuannya dalam kode. Komunikasi dengan server C&C terjadi melalui port 80.

Tabel 5. Perintah dan deskripsi operator

perintah	Deskripsi Produk
p	Mengirimkan ID proses untuk proses Sponsor yang sedang berjalan.
e	Menjalankan perintah, sebagaimana ditentukan dalam argumen tambahan berikutnya, pada host Sponsor menggunakan string berikut: c:windowssystem32cmd.exe /c    > hasil.txt 2>&1 Hasil disimpan di hasil.txt di direktori kerja saat ini. Mengirim sebuah a pesan dengan output terenkripsi ke server C&C jika berhasil dijalankan. Jika gagal, kirimkan f pesan (tanpa menentukan kesalahannya).
d	Menerima file dari server C&C dan menjalankannya. Perintah ini memiliki banyak argumen: nama file target untuk menulis file, hash MD5 dari file, direktori untuk menulis file (atau direktori kerja saat ini, secara default), Boolean untuk menunjukkan apakah akan menjalankan file atau tidak, dan konten file yang dapat dieksekusi, dikodekan base64. Jika tidak ada kesalahan yang terjadi, an a pesan dikirim ke server C&C dengan Unggah dan jalankan file dengan sukses or Unggah file berhasil tanpa mengeksekusi (dienkripsi). Jika terjadi kesalahan selama eksekusi file, an f pesan terkirim. Jika hash MD5 dari konten file tidak cocok dengan hash yang diberikan, an e (CRC_ERROR) pesan dikirim ke server C&C (termasuk hanya kunci enkripsi yang digunakan, dan tidak ada informasi lainnya). Penggunaan istilah tersebut Unggah di sini berpotensi membingungkan karena operator dan pembuat kode Ballistic Bobcat mengambil sudut pandang dari sisi server, sedangkan banyak orang mungkin melihat ini sebagai unduhan berdasarkan penarikan file (yaitu, mengunduhnya) oleh sistem menggunakan pintu belakang Sponsor.
u	Mencoba mengunduh file menggunakan URLUnduhFileW Windows API dan jalankan. Sukses mengirimkan a pesan dengan kunci enkripsi yang digunakan, dan tidak ada informasi lainnya. Kegagalan mengirimkan f pesan dengan struktur serupa.
s	Menjalankan file yang sudah ada di disk, Copot pemasangan.bat di direktori kerja saat ini, yang kemungkinan besar berisi perintah untuk menghapus file yang terkait dengan pintu belakang.
n	Perintah ini dapat diberikan secara eksplisit oleh operator atau dapat disimpulkan oleh Sponsor sebagai perintah yang harus dijalankan tanpa adanya perintah lain. Disebut dalam Sponsor sebagai TIDAK_CMD, ia menjalankan mode tidur acak sebelum memeriksa kembali dengan server C&C.
b	Memperbarui daftar K&C yang disimpan di config.txt di direktori kerja saat ini. Alamat C&C baru menggantikan alamat sebelumnya; mereka tidak ditambahkan ke daftar. Ini mengirimkan a pesan dengan Relai baru berhasil diganti (dienkripsi) ke server C&C jika berhasil diperbarui.
i	Memperbarui interval check-in yang telah ditentukan sebelumnya yang ditentukan dalam config.txt. Ini mengirimkan a pesan dengan Interval baru berhasil diganti ke server C&C jika berhasil diperbarui.

Pembaruan pada Sponsor

Pembuat kode Bobcat Balistik membuat revisi kode antara Sponsor v1 dan v2. Dua perubahan paling signifikan pada perubahan terakhir adalah:

• Optimalisasi kode di mana beberapa fungsi yang lebih panjang diminimalkan menjadi fungsi dan subfungsi, dan
• Menyamarkan Sponsor sebagai program pembaru dengan menyertakan pesan berikut dalam konfigurasi layanan:

Pembaruan aplikasi sangat bermanfaat bagi pengguna aplikasi dan aplikasi – pembaruan berarti bahwa pengembang selalu berupaya meningkatkan aplikasi, dengan mempertimbangkan pengalaman pelanggan yang lebih baik dengan setiap pembaruan.

Infrastruktur jaringan

Selain mendukung infrastruktur C&C yang digunakan dalam kampanye PowerLess, Ballistic Bobcat juga memperkenalkan server C&C baru. Grup ini juga menggunakan beberapa IP untuk menyimpan dan mengirimkan alat dukungan selama kampanye Akses Sponsor. Kami telah mengonfirmasi bahwa tidak satu pun dari IP tersebut yang beroperasi saat ini.

Kesimpulan

Ballistic Bobcat terus beroperasi dengan model pemindaian dan eksploitasi, mencari target peluang dengan kerentanan yang belum ditambal di server Microsoft Exchange yang terekspos internet. Grup ini terus menggunakan beragam perangkat sumber terbuka yang dilengkapi dengan beberapa aplikasi khusus, termasuk pintu belakang Sponsornya. Para pembela HAM disarankan untuk menambal perangkat apa pun yang terpapar internet dan tetap waspada terhadap aplikasi baru yang bermunculan di organisasi mereka.

Untuk pertanyaan apa pun tentang penelitian kami yang dipublikasikan di WeLiveSecurity, silakan hubungi kami di ancamanintel@eset.com.
ESET Research menawarkan laporan intelijen APT pribadi dan umpan data. Untuk setiap pertanyaan tentang layanan ini, kunjungi Intelijen Ancaman ESET .

IoC

File

SHA-1	Filename	Deteksi	Deskripsi Produk
098B9A6CE722311553E1D8AC5849BA1DC5834C52	N / A	Win32/Agen.UXG	Pintu belakang Bobcat Balistik, Sponsor (v1).
5AEE3C957056A8640041ABC108D0B8A3D7A02EBD	N / A	Win32/Agen.UXG	Pintu belakang Bobcat Balistik, Sponsor (v2).
764EB6CA3752576C182FC19CFF3E86C38DD51475	N / A	Win32/Agen.UXG	Pintu belakang Bobcat Balistik, Sponsor (v3).
2F3EDA9D788A35F4C467B63860E73C3B010529CC	N / A	Win32/Agen.UXG	Pintu belakang Bobcat Balistik, Sponsor (v4).
E443DC53284537513C00818392E569C79328F56F	N / A	Win32/Agen.UXG	Pintu belakang Bobcat Balistik, Sponsor (v5, alias Alumina).
C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61	N / A	WinGo/Agen.BT	Terowongan terbalik RevSocks.
39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6	N / A	membersihkan	ProcDump, utilitas baris perintah untuk memantau aplikasi dan menghasilkan crash dump.
A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A	N / A	Generik.EYWYQYF	Meniru.
5D60C8507AC9B840A13FFDF19E3315A3E14DE66A	N / A	WinGo/Riskware.Gost.D	GO Terowongan Sederhana (GOST).
50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617	N / A	WinGo/HackTool.Chisel.A	Terowongan terbalik pahat.
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252	N / A	N / A	Alat penemuan Host2IP.
519CA93366F1B1D71052C6CE140F5C80CE885181	N / A	Win64/Dikemas.Enigma.BV	Terowongan RevSocks, dilindungi dengan versi uji coba perlindungan perangkat lunak Enigma Protector.
4709827C7A95012AB970BF651ED5183083366C79	N / A	N / A	Plink (PuTTY Link), alat koneksi baris perintah.
99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8	N / A	Win32/PSWTool.WebBrowserPassView.I	Alat pemulihan kata sandi untuk kata sandi yang disimpan di browser web.
E52AA118A59502790A4DD6625854BD93C0DEAF27	N / A	MSIL/HackTool.SQLDump.A	Alat untuk berinteraksi dan mengekstrak data dari database SQL.

 

Jalur file

Berikut ini adalah daftar jalur di mana pintu belakang Sponsor diterapkan pada mesin yang menjadi korban.

%SYSTEMDRIVE%inetpubwwwrootaspnet_client

%USERPROFILE%AppDataLocalTempfile

%USERPROFILE%AppDataLocalTemp2rendah

%USERPROFILE%Desktop

%USERPROFILE%Unduhansa

%ANGIN%

%WINDIR%INFMSPengiriman Pertukaran DSN

%WINDIR%Tugas

%WINDIR%Temp%WINDIR%Tempcrashpad1File

jaringan

IP	Penyedia	Pertama kali melihat	terakhir terlihat	Rincian
162.55.137[.]20	GMBH Online Hetzner	2021-06-14	2021-06-15	K&K yang Tidak Berdaya.
37.120.222[.]168	M247 LTD	2021-11-28	2021-12-12	Syarat dan Ketentuan Sponsor.
198.144.189[.]74	lintas warna	2021-11-29	2021-11-29	Situs pengunduhan alat pendukung.
5.255.97[.]172	Grup Infrastruktur BV	2021-09-05	2021-10-28	Situs pengunduhan alat pendukung.

Tabel ini dibuat menggunakan versi 13 dari kerangka MITRE ATT&CK.

Taktik	ID	Nama	Deskripsi Produk
Pengintaian	T1595	Pemindaian Aktif: Pemindaian Kerentanan	Ballistic Bobcat memindai versi Microsoft Exchange Server yang rentan untuk dieksploitasi.
Pengembangan Sumber Daya	T1587.001	Kembangkan Kemampuan: Malware	Bobcat Balistik merancang dan memberi kode pintu belakang Sponsor.
	T1588.002	Dapatkan Kemampuan: Alat	Ballistic Bobcat menggunakan berbagai alat sumber terbuka sebagai bagian dari kampanye Akses Sponsor.
Akses Awal	T1190	Eksploitasi Aplikasi yang Menghadapi Publik	Bobcat Balistik menargetkan paparan internet  Server Microsoft Exchange.
Execution	T1059.003	Penerjemah Perintah dan Skrip: Windows Command Shell	Pintu belakang Sponsor menggunakan shell perintah Windows untuk menjalankan perintah pada sistem korban.
	T1569.002	Layanan Sistem: Eksekusi Layanan	Pintu belakang Sponsor menetapkan dirinya sebagai layanan dan memulai fungsi utamanya setelah layanan dijalankan.
Ketekunan	T1543.003	Buat atau Ubah Proses Sistem: Layanan Windows	Sponsor mempertahankan persistensi dengan membuat layanan dengan startup otomatis yang menjalankan fungsi utamanya dalam satu putaran.
Eskalasi Privilege	T1078.003	Akun yang Valid: Akun Lokal	Operator Balistik Bobcat berupaya mencuri kredensial pengguna yang valid setelah awalnya mengeksploitasi sistem sebelum menerapkan pintu belakang Sponsor.
Penghindaran Pertahanan	T1140	Deobfuscate/Decode File atau Informasi	Sponsor menyimpan informasi pada disk yang dienkripsi dan dikaburkan, serta membatalkan penyamarannya saat runtime.
	T1027	File atau Informasi yang Dikaburkan	File konfigurasi yang diperlukan oleh pintu belakang Sponsor pada disk dienkripsi dan dikaburkan.
	T1078.003	Akun yang Valid: Akun Lokal	Sponsor dijalankan dengan hak istimewa admin, kemungkinan besar menggunakan kredensial yang ditemukan operator di disk; bersama dengan konvensi penamaan Ballistic Bobcat yang tidak berbahaya, hal ini memungkinkan Sponsor untuk menyatu dengan latar belakang.
Akses Kredensial	T1555.003	Kredensial dari Penyimpanan Kata Sandi: Kredensial dari Peramban Web	Operator Balistik Bobcat menggunakan alat sumber terbuka untuk mencuri kredensial dari penyimpanan kata sandi di dalam browser web.
penemuan	T1018	Penemuan Sistem Jarak Jauh	Ballistic Bobcat menggunakan alat Host2IP, yang sebelumnya digunakan oleh Agrius, untuk menemukan sistem lain dalam jaringan yang dapat dijangkau dan menghubungkan nama host dan alamat IP-nya.
Komando dan Pengendalian	T1001	Kebingungan Data	Pintu belakang Sponsor mengaburkan data sebelum mengirimkannya ke server C&C.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Otomotif / EV, Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• ChartPrime. Tingkatkan Game Trading Anda dengan ChartPrime. Akses Di Sini.
• BlockOffset. Modernisasi Kepemilikan Offset Lingkungan. Akses Di Sini.
• Sumber: https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/