Peneliti ESET menemukan kampanye Ballistic Bobcat yang menargetkan berbagai entitas di Brasil, Israel, dan Uni Emirat Arab, menggunakan pintu belakang baru yang kami beri nama Sponsor.
Kami menemukan Sponsor setelah menganalisis sampel menarik yang kami deteksi pada sistem korban di Israel pada Mei 2022 dan mencakup korban berdasarkan negara. Setelah diperiksa, menjadi jelas bagi kami bahwa sampel tersebut adalah pintu belakang baru yang digunakan oleh kelompok APT Balistik Bobcat.
Ballistic Bobcat, yang sebelumnya dilacak oleh ESET Research sebagai APT35/APT42 (alias Charming Kitten, TA453, atau PHOSPHORUS), dicurigai sebagai Kelompok ancaman persisten tingkat lanjut yang berpihak pada Iran yang menargetkan organisasi pendidikan, pemerintah, dan layanan kesehatan, serta aktivis hak asasi manusia dan jurnalis. Kelompok ini paling aktif di Israel, Timur Tengah, dan Amerika Serikat. Khususnya, selama pandemi, program ini menargetkan organisasi terkait COVID-19, termasuk Organisasi Kesehatan Dunia dan Gilead Pharmaceuticals, serta personel penelitian medis.
Tumpang tindih antara kampanye Ballistic Bobcat dan versi pintu belakang Sponsor menunjukkan pola pengembangan dan penerapan alat yang cukup jelas, dengan kampanye yang ditargetkan secara sempit, masing-masing dengan durasi terbatas. Kami kemudian menemukan empat versi lain dari pintu belakang Sponsor. Secara total, kami melihat Sponsor dikerahkan ke setidaknya 34 korban di Brasil, Israel, dan Uni Emirat Arab, sebagaimana diuraikan dalam REF _Ref143075975 jam Angka 1
.
Poin-poin penting dari blogpost ini:
- Kami menemukan pintu belakang baru yang digunakan oleh Ballistic Bobcat yang kemudian kami beri nama Sponsor.
- Ballistic Bobcat menerapkan pintu belakang baru pada bulan September 2021, saat menyelesaikan kampanye yang didokumentasikan dalam CISA Alert AA21-321A dan kampanye PowerLess.
- Pintu belakang Sponsor menggunakan file konfigurasi yang disimpan di disk. File-file ini secara diam-diam disebarkan oleh file batch dan sengaja dirancang agar tampak tidak berbahaya, sehingga berusaha menghindari deteksi oleh mesin pemindai.
- Sponsor dikerahkan untuk setidaknya 34 korban di Brazil, Israel, dan Uni Emirat Arab; kami menamakan kegiatan ini kampanye Akses Sponsor.
Akses awal
Ballistic Bobcat memperoleh akses awal dengan mengeksploitasi kerentanan yang diketahui di server Microsoft Exchange yang terekspos internet dengan terlebih dahulu melakukan pemindaian sistem atau jaringan secara cermat untuk mengidentifikasi potensi kelemahan atau kerentanan, dan selanjutnya menargetkan dan mengeksploitasi kelemahan yang teridentifikasi. Kelompok tersebut telah diketahui terlibat dalam perilaku ini selama beberapa waktu. Namun, banyak dari 34 korban yang diidentifikasi dalam telemetri ESET mungkin lebih tepat digambarkan sebagai korban peluang, bukan korban yang telah dipilih dan diteliti, karena kami menduga Ballistic Bobcat terlibat dalam perilaku pemindaian dan eksploitasi yang dijelaskan di atas karena hal tersebut bukan satu-satunya ancaman. aktor yang mempunyai akses terhadap sistem ini. Kami menamakan aktivitas Bobcat Balistik ini dengan memanfaatkan pintu belakang Sponsor sebagai kampanye Akses Sponsor.
Pintu belakang Sponsor menggunakan file konfigurasi pada disk, dimasukkan ke dalam file batch, dan keduanya tidak berbahaya untuk melewati mesin pemindaian. Pendekatan modular ini adalah pendekatan yang sering digunakan Ballistic Bobcat dan cukup berhasil dalam dua setengah tahun terakhir. Pada sistem yang disusupi, Ballistic Bobcat juga terus menggunakan berbagai alat sumber terbuka, yang kami jelaskan – bersama dengan pintu belakang Sponsor – di postingan blog ini.
Victimology
Mayoritas dari 34 korban berada di Israel, dan hanya dua yang berlokasi di negara lain:
- Brazil, di koperasi medis dan operator asuransi kesehatan, dan
- Uni Emirat Arab, di sebuah organisasi tak dikenal.
REF _Ref112861418 jam tabel 1
menggambarkan vertikal, dan rincian organisasi, untuk para korban di Israel.
tabel Tabel SEQ * ARAB 1. Detail vertikal dan organisasi untuk para korban di Israel
Vertikal |
Rincian |
Otomotif |
· Sebuah perusahaan otomotif yang mengkhususkan diri pada modifikasi custom. · Perusahaan perbaikan dan pemeliharaan otomotif. |
komunikasi |
· Sebuah outlet media Israel. |
Teknik |
· Sebuah perusahaan teknik sipil. · Sebuah perusahaan teknik lingkungan. · Sebuah firma desain arsitektur. |
Jasa keuangan |
· Perusahaan jasa keuangan yang berspesialisasi dalam konseling investasi. · Perusahaan yang mengelola royalti. |
Kesehatan |
· Penyedia layanan medis. |
Asuransi |
· Perusahaan asuransi yang mengoperasikan pasar asuransi. · Sebuah perusahaan asuransi komersial. |
Hukum |
· Sebuah firma yang berspesialisasi dalam hukum medis. |
Manufaktur |
· Beberapa perusahaan manufaktur elektronik. · Perusahaan yang memproduksi produk komersial berbahan dasar logam. · Sebuah perusahaan manufaktur teknologi multinasional. |
Retail |
· Sebuah pengecer makanan. · Pengecer berlian multinasional. · Pengecer produk perawatan kulit. · Pengecer dan pemasang perawatan jendela. · Pemasok suku cadang elektronik global. · Pemasok kontrol akses fisik. |
Teknologi |
· Sebuah perusahaan teknologi layanan IT. · Penyedia solusi TI. |
Telekomunikasi |
· Sebuah perusahaan telekomunikasi. |
Tidak teridentifikasi |
· Beberapa organisasi tak dikenal. |
Atribusi
Pada bulan Agustus 2021, korban Israel di atas yang mengoperasikan pasar asuransi diserang oleh Ballistic Bobcat dengan peralatannya CISA dilaporkan pada November 2021. Indikator kompromi yang kami amati adalah:
- Jadwal Pembaruan MicrosoftOutlook,
- MicrosoftOutlookUpdateSchedule.xml,
- Manajemen Perubahan Google, dan
- GoogleChangeManagement.xml.
Alat Balistik Bobcat dikomunikasikan dengan server perintah dan kontrol (C&C) yang sama seperti dalam laporan CISA: 162.55.137[.]20.
Kemudian, pada bulan September 2021, korban yang sama menerima alat Ballistic Bobcat generasi berikutnya: the Pintu belakang yang tidak berdaya dan perangkat pendukungnya. Indikator kompromi yang kami amati adalah:
- http://162.55.137[.]20/gsdhdDdfgA5sS/ff/dll.dll,
- windowsproses.exe, dan
- http://162.55.137[.]20/gsdhdDdfgA5sS/ff/windowsprocesses.exe.
Pada tanggal 18th, 2021, grup tersebut kemudian menerapkan alat lain (Plink) yang tercakup dalam laporan CISA, seperti MicrosoftOutLookUpdater.exe. Sepuluh hari kemudian, pada tanggal 28 Novemberth, 2021, Bobcat Balistik mengerahkan Agen Merlin (bagian agen dari an Server dan agen C&C pasca-eksploitasi sumber terbuka yang ditulis dalam Go). Di disk, agen Merlin ini diberi nama googleUpdate.exe, menggunakan konvensi penamaan yang sama seperti yang dijelaskan dalam laporan CISA untuk bersembunyi di depan mata.
Agen Merlin mengeksekusi shell terbalik Meterpreter yang memanggil kembali ke server C&C baru, 37.120.222[.]168:80. Pada 12 Desemberth, 2021, shell terbalik menjatuhkan file batch, instal.bat, dan dalam beberapa menit setelah mengeksekusi file batch, operator Ballistic Bobcat mendorong pintu belakang terbaru mereka, Sponsor. Ini akan menjadi versi ketiga dari pintu belakang.
Analisis teknis
Akses awal
Kami dapat mengidentifikasi kemungkinan cara akses awal untuk 23 dari 34 korban yang kami amati dalam telemetri ESET. Mirip dengan apa yang diberitakan di Kurang daya dan CISA laporan, Ballistic Bobcat mungkin mengeksploitasi kerentanan yang diketahui, CVE-2021-26855, di server Microsoft Exchange untuk mendapatkan pijakan pada sistem ini.
Bagi 16 dari 34 korban, tampaknya Ballistic Bobcat bukanlah satu-satunya pelaku ancaman yang memiliki akses ke sistem mereka. Hal ini mungkin menunjukkan, seiring dengan banyaknya korban yang beragam dan kurangnya nilai intelijen dari beberapa korban, bahwa Ballistic Bobcat terlibat dalam perilaku pemindaian dan eksploitasi, dibandingkan dengan kampanye yang ditargetkan terhadap korban yang telah dipilih sebelumnya.
Toolset
Alat sumber terbuka
Ballistic Bobcat menggunakan sejumlah alat sumber terbuka selama kampanye Akses Sponsor. Alat-alat tersebut dan fungsinya tercantum di REF _Ref112861458 jam tabel 2
.
tabel Tabel SEQ * ARAB 2. Alat sumber terbuka yang digunakan oleh Ballistic Bobcat
Filename |
Deskripsi Produk |
host2ip.exe
|
Peta a nama host ke alamat IP dalam jaringan lokal. |
CSRSS.EXE
|
RevSocks, aplikasi terowongan terbalik. |
mi.exe
|
Mimikatz, dengan nama file asli midongle.exe dan dikemas dengan Pengemas Armadillo PE. |
gost.exe
|
GO Terowongan Sederhana (GOST), aplikasi penerowongan yang ditulis dalam Go. |
pahat.exe
|
Pahat, terowongan TCP/UDP melalui HTTP menggunakan lapisan SSH. |
csrss_protected.exe
|
Terowongan RevSocks, dilindungi dengan versi uji coba Perlindungan perangkat lunak Enigma Protector. |
plink.exe
|
Plink (PuTTY Link), alat koneksi baris perintah. |
WebBrowserPassView.exe
|
A alat pemulihan kata sandi untuk kata sandi yang disimpan di browser web.
|
sqltractor.exe
|
A alat untuk berinteraksi dengan, dan mengekstrak data dari, database SQL. |
procdump64.exe
|
ProcDump, Sebuah Utilitas baris perintah Sysinternals untuk memantau aplikasi dan menghasilkan crash dump. |
File batch
Ballistic Bobcat menyebarkan file batch ke sistem korban beberapa saat sebelum menerapkan pintu belakang Sponsor. Jalur file yang kami ketahui adalah:
- C:inetpubwwwrootaspnet_clientInstall.bat
- %USERPROFILE%DesktopInstall.bat
- %WINDOWS%TugasInstal.bat
Sayangnya, kami tidak dapat memperoleh file batch apa pun ini. Namun, kami yakin mereka menulis file konfigurasi yang tidak berbahaya ke disk, yang diperlukan oleh pintu belakang Sponsor agar dapat berfungsi sepenuhnya. Nama file konfigurasi ini diambil dari pintu belakang Sponsor tetapi tidak pernah dikumpulkan:
- config.txt
- simpul.txt
- kesalahan.txt
- Copot pemasangan.bat
Kami percaya bahwa file batch dan file konfigurasi adalah bagian dari proses pengembangan modular yang disukai Ballistic Bobcat selama beberapa tahun terakhir.
Pintu belakang sponsor
Pintu belakang sponsor ditulis dalam C++ dengan stempel waktu kompilasi dan jalur Database Program (PDB) seperti yang ditunjukkan pada REF _Ref112861527 jam tabel 3
. Catatan tentang nomor versi: kolom Versi mewakili versi yang kami lacak secara internal berdasarkan perkembangan linier pintu belakang Sponsor tempat perubahan dilakukan dari satu versi ke versi berikutnya. Itu Versi internal Kolom berisi nomor versi yang diamati di setiap pintu belakang Sponsor dan disertakan untuk memudahkan perbandingan saat memeriksa sampel ini dan sampel Sponsor potensial lainnya.
tabel 3. Stempel waktu kompilasi dan PDB sponsor
Versi |
Versi internal |
Stempel waktu kompilasi |
PDB |
1 |
1.0.0 |
2021-08-29 09:12:51 |
D:TempBD_Plus_SrvcReleaseBD_Plus_Srvc.pdb |
2 |
1.0.0 |
2021-10-09 12:39:15 |
D:TempSponsorReleaseSponsor.pdb |
3 |
1.4.0 |
2021-11-24 11:51:55 |
D:TempSponsorReleaseSponsor.pdb |
4 |
2.1.1 |
2022-02-19 13:12:07 |
D:TempSponsorReleaseSponsor.pdb |
5 |
1.2.3.0 |
2022-06-19 14:14:13 |
D:TempAluminaReleaseAlumina.pdb |
Eksekusi awal Sponsor memerlukan argumen runtime install, yang tanpanya Sponsor akan keluar dengan anggun, kemungkinan merupakan teknik anti-emulasi/anti-sandbox yang sederhana. Jika argumen tersebut lolos, Sponsor membuat layanan bernama Jaringan Sistem (di v1) Dan Memperbarui (di semua versi lainnya). Ini mengatur layanan Jenis startup untuk secara otomatis, dan mengaturnya untuk menjalankan proses Sponsornya sendiri, dan memberinya akses penuh. Ini kemudian memulai layanan.
Sponsor, yang sekarang berjalan sebagai layanan, mencoba membuka file konfigurasi yang disebutkan di atas yang sebelumnya ditempatkan pada disk. Itu mencari config.txt dan simpul.txt, keduanya di direktori kerja saat ini. Jika yang pertama tidak ada, Sponsor menyetel layanan ke Terhenti dan keluar dengan anggun.
Konfigurasi pintu belakang
Konfigurasi sponsor, disimpan di config.txt, berisi dua bidang:
- Interval pembaruan, dalam hitungan detik, untuk menghubungi server C&C secara berkala untuk mendapatkan perintah.
- Daftar server C&C, disebut sebagai relay dalam biner Sponsor.
Server C&C disimpan terenkripsi (RC4), dan kunci dekripsi ada di baris pertama config.txt. Masing-masing bidang, termasuk kunci dekripsi, memiliki format yang ditunjukkan REF _Ref142647636 jam Angka 3
.
Subbidang ini adalah:
- config_start: menunjukkan panjangnya config_name, jika ada, atau nol, jika tidak. Digunakan oleh pintu belakang untuk mengetahui di mana config_data dimulai.
- config_len: panjang dari config_data.
- config_name: opsional, berisi nama yang diberikan untuk bidang konfigurasi.
- config_data: konfigurasi itu sendiri, terenkripsi (untuk server C&C) atau tidak (semua kolom lainnya).
REF _Ref142648473 jam Angka 4
menunjukkan contoh dengan konten berkode warna yang memungkinkan config.txt mengajukan. Perhatikan bahwa ini bukan file sebenarnya yang kami amati, namun contoh palsu.
Dua bidang terakhir di config.txt dienkripsi dengan RC4, menggunakan representasi string hash SHA-256 dari kunci dekripsi yang ditentukan, sebagai kunci untuk mengenkripsi data. Kami melihat bahwa byte terenkripsi disimpan dengan kode hex sebagai teks ASCII.
Selenggarakan pengumpulan informasi
Sponsor mengumpulkan informasi tentang host yang menjalankannya, melaporkan semua informasi yang dikumpulkan ke server C&C, dan menerima ID node, yang ditulis ke simpul.txt. REF _Ref142653641 jam tabel 4
REF _Ref112861575 jam
mencantumkan kunci dan nilai dalam registri Windows yang digunakan Sponsor untuk mendapatkan informasi, dan memberikan contoh data yang dikumpulkan.
Tabel 4. Informasi yang dikumpulkan oleh Sponsor
Kunci registri |
Nilai |
Contoh |
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
|
hostname
|
D-835MK12
|
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTimeZoneInformation
|
NamaKeyZoneKeyName
|
Waktu Standar Israel
|
HKEY_USERS.DEFAULTPanel KontrolInternasional
|
Nama Lokal
|
dia-IL
|
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSistemBIOS
|
Produk Papan Dasar
|
10NX0010IL
|
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessor
|
Nama ProsesorString
|
CPU Intel(R) Core(TM) i7-8565U @ 1.80GHz
|
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion
|
Nama Produk
|
Windows 10 Enterprise WANITA
|
CurrentVersion
|
6.3
|
|
NomorBangun Saat Ini
|
19044
|
|
Tipe Instalasi
|
Pelanggan
|
Sponsor juga mengumpulkan domain Windows host dengan menggunakan yang berikut ini WMIC perintah:
sistem komputer wmic mendapatkan domain
Terakhir, Sponsor menggunakan API Windows untuk mengumpulkan nama pengguna saat ini (Dapatkan NamaPenggunaW), tentukan apakah proses Sponsor saat ini berjalan sebagai aplikasi 32 atau 64-bit (Dapatkan Proses Saat Ini, kemudian Proses IsWow64 (Proses Saat Ini)), dan menentukan apakah sistem berjalan dengan daya baterai atau terhubung ke sumber daya AC atau DC (DapatkanSystemPowerStatus).
Satu keanehan mengenai pemeriksaan aplikasi 32 atau 64-bit adalah bahwa semua sampel Sponsor yang diamati adalah 32-bit. Ini mungkin berarti bahwa beberapa alat tahap berikutnya memerlukan informasi ini.
Informasi yang dikumpulkan dikirim dalam pesan berkode base64 yang, sebelum dikodekan, dimulai dengan r dan memiliki format yang ditunjukkan di REF _Ref142655224 jam Angka 5
.
Informasi tersebut dienkripsi dengan RC4, dan kunci enkripsinya adalah nomor acak yang dihasilkan saat itu juga. Kuncinya di-hash dengan algoritma MD5, bukan SHA-256 seperti yang disebutkan sebelumnya. Hal ini berlaku untuk semua komunikasi yang mengharuskan Sponsor mengirimkan data terenkripsi.
Server C&C membalas dengan nomor yang digunakan untuk mengidentifikasi komputer yang menjadi korban dalam komunikasi selanjutnya, yang dituliskan ke dalamnya simpul.txt. Perhatikan bahwa server C&C dipilih secara acak dari daftar ketika r pesan dikirim, dan server yang sama digunakan dalam semua komunikasi berikutnya.
Lingkaran pemrosesan perintah
Sponsor meminta perintah dalam satu lingkaran, tidur sesuai dengan interval yang ditentukan dalam config.txt. Langkah-langkahnya adalah:
- Kirim chk=Uji pesan berulang kali, hingga server C&C membalas Ok.
- Kirim c (IS_CMD_AVAIL) pesan ke server C&C, dan menerima perintah operator.
- Proses perintahnya.
- Jika ada output yang ingin dikirim ke server C&C, kirimkan a (ACK) pesan, termasuk output (terenkripsi), atau
- Jika eksekusi gagal, kirimkan f
(
GAGAL) pesan. Pesan kesalahan tidak terkirim.
- Tidur.
Grafik c pesan dikirim untuk meminta perintah untuk dieksekusi, dan memiliki format (sebelum pengkodean base64) yang ditunjukkan REF _Ref142658017 jam Angka 6
.
Grafik terenkripsi_tidak ada field pada gambar adalah hasil enkripsi string hardcoded None dengan RC4. Kunci untuk enkripsi adalah hash MD5 simpul_id.
URL yang digunakan untuk menghubungi server C&C dibuat sebagai: http://<IP_or_domain>:80. Ini mungkin menunjukkan hal itu 37.120.222[.]168:80 adalah satu-satunya server C&C yang digunakan selama kampanye Akses Sponsor, karena ini adalah satu-satunya alamat IP yang kami amati dijangkau oleh mesin korban pada port 80.
Perintah operator
Perintah operator digambarkan dalam REF _Ref112861551 jam tabel 5
dan muncul sesuai urutan penemuannya dalam kode. Komunikasi dengan server C&C terjadi melalui port 80.
Tabel 5. Perintah dan deskripsi operator
perintah |
Deskripsi Produk |
p |
Mengirimkan ID proses untuk proses Sponsor yang sedang berjalan. |
e |
Menjalankan perintah, sebagaimana ditentukan dalam argumen tambahan berikutnya, pada host Sponsor menggunakan string berikut: c:windowssystem32cmd.exe /c > hasil.txt 2>&1 Hasil disimpan di hasil.txt di direktori kerja saat ini. Mengirim sebuah a pesan dengan output terenkripsi ke server C&C jika berhasil dijalankan. Jika gagal, kirimkan f pesan (tanpa menentukan kesalahannya). |
d |
Menerima file dari server C&C dan menjalankannya. Perintah ini memiliki banyak argumen: nama file target untuk menulis file, hash MD5 dari file, direktori untuk menulis file (atau direktori kerja saat ini, secara default), Boolean untuk menunjukkan apakah akan menjalankan file atau tidak, dan konten file yang dapat dieksekusi, dikodekan base64. Jika tidak ada kesalahan yang terjadi, an a pesan dikirim ke server C&C dengan Unggah dan jalankan file dengan sukses or Unggah file berhasil tanpa mengeksekusi (dienkripsi). Jika terjadi kesalahan selama eksekusi file, an f pesan terkirim. Jika hash MD5 dari konten file tidak cocok dengan hash yang diberikan, an e (CRC_ERROR) pesan dikirim ke server C&C (termasuk hanya kunci enkripsi yang digunakan, dan tidak ada informasi lainnya). Penggunaan istilah tersebut Unggah di sini berpotensi membingungkan karena operator dan pembuat kode Ballistic Bobcat mengambil sudut pandang dari sisi server, sedangkan banyak orang mungkin melihat ini sebagai unduhan berdasarkan penarikan file (yaitu, mengunduhnya) oleh sistem menggunakan pintu belakang Sponsor. |
u |
Mencoba mengunduh file menggunakan URLUnduhFileW Windows API dan jalankan. Sukses mengirimkan a pesan dengan kunci enkripsi yang digunakan, dan tidak ada informasi lainnya. Kegagalan mengirimkan f pesan dengan struktur serupa. |
s |
Menjalankan file yang sudah ada di disk, Copot pemasangan.bat di direktori kerja saat ini, yang kemungkinan besar berisi perintah untuk menghapus file yang terkait dengan pintu belakang. |
n |
Perintah ini dapat diberikan secara eksplisit oleh operator atau dapat disimpulkan oleh Sponsor sebagai perintah yang harus dijalankan tanpa adanya perintah lain. Disebut dalam Sponsor sebagai TIDAK_CMD, ia menjalankan mode tidur acak sebelum memeriksa kembali dengan server C&C. |
b |
Memperbarui daftar K&C yang disimpan di config.txt di direktori kerja saat ini. Alamat C&C baru menggantikan alamat sebelumnya; mereka tidak ditambahkan ke daftar. Ini mengirimkan a pesan dengan |
i |
Memperbarui interval check-in yang telah ditentukan sebelumnya yang ditentukan dalam config.txt. Ini mengirimkan a pesan dengan Interval baru berhasil diganti ke server C&C jika berhasil diperbarui. |
Pembaruan pada Sponsor
Pembuat kode Bobcat Balistik membuat revisi kode antara Sponsor v1 dan v2. Dua perubahan paling signifikan pada perubahan terakhir adalah:
- Optimalisasi kode di mana beberapa fungsi yang lebih panjang diminimalkan menjadi fungsi dan subfungsi, dan
- Menyamarkan Sponsor sebagai program pembaru dengan menyertakan pesan berikut dalam konfigurasi layanan:
Pembaruan aplikasi sangat bermanfaat bagi pengguna aplikasi dan aplikasi – pembaruan berarti bahwa pengembang selalu berupaya meningkatkan aplikasi, dengan mempertimbangkan pengalaman pelanggan yang lebih baik dengan setiap pembaruan.
Infrastruktur jaringan
Selain mendukung infrastruktur C&C yang digunakan dalam kampanye PowerLess, Ballistic Bobcat juga memperkenalkan server C&C baru. Grup ini juga menggunakan beberapa IP untuk menyimpan dan mengirimkan alat dukungan selama kampanye Akses Sponsor. Kami telah mengonfirmasi bahwa tidak satu pun dari IP tersebut yang beroperasi saat ini.
Kesimpulan
Ballistic Bobcat terus beroperasi dengan model pemindaian dan eksploitasi, mencari target peluang dengan kerentanan yang belum ditambal di server Microsoft Exchange yang terekspos internet. Grup ini terus menggunakan beragam perangkat sumber terbuka yang dilengkapi dengan beberapa aplikasi khusus, termasuk pintu belakang Sponsornya. Para pembela HAM disarankan untuk menambal perangkat apa pun yang terpapar internet dan tetap waspada terhadap aplikasi baru yang bermunculan di organisasi mereka.
Untuk pertanyaan apa pun tentang penelitian kami yang dipublikasikan di WeLiveSecurity, silakan hubungi kami di ancamanintel@eset.com.
ESET Research menawarkan laporan intelijen APT pribadi dan umpan data. Untuk setiap pertanyaan tentang layanan ini, kunjungi Intelijen Ancaman ESET .
IoC
File
SHA-1 |
Filename |
Deteksi |
Deskripsi Produk |
098B9A6CE722311553E1D8AC5849BA1DC5834C52
|
N / A |
Win32/Agen.UXG |
Pintu belakang Bobcat Balistik, Sponsor (v1). |
5AEE3C957056A8640041ABC108D0B8A3D7A02EBD
|
N / A |
Win32/Agen.UXG |
Pintu belakang Bobcat Balistik, Sponsor (v2). |
764EB6CA3752576C182FC19CFF3E86C38DD51475
|
N / A |
Win32/Agen.UXG |
Pintu belakang Bobcat Balistik, Sponsor (v3). |
2F3EDA9D788A35F4C467B63860E73C3B010529CC
|
N / A |
Win32/Agen.UXG |
Pintu belakang Bobcat Balistik, Sponsor (v4). |
E443DC53284537513C00818392E569C79328F56F
|
N / A |
Win32/Agen.UXG |
Pintu belakang Bobcat Balistik, Sponsor (v5, alias Alumina). |
C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61
|
N / A |
WinGo/Agen.BT |
Terowongan terbalik RevSocks. |
39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6
|
N / A |
membersihkan |
ProcDump, utilitas baris perintah untuk memantau aplikasi dan menghasilkan crash dump. |
A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A
|
N / A |
Generik.EYWYQYF |
Meniru. |
5D60C8507AC9B840A13FFDF19E3315A3E14DE66A
|
N / A |
WinGo/Riskware.Gost.D |
GO Terowongan Sederhana (GOST). |
50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617
|
N / A |
WinGo/HackTool.Chisel.A |
Terowongan terbalik pahat. |
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252
|
N / A |
N / A |
Alat penemuan Host2IP. |
519CA93366F1B1D71052C6CE140F5C80CE885181
|
N / A |
Win64/Dikemas.Enigma.BV |
Terowongan RevSocks, dilindungi dengan versi uji coba perlindungan perangkat lunak Enigma Protector. |
4709827C7A95012AB970BF651ED5183083366C79
|
N / A |
N / A |
Plink (PuTTY Link), alat koneksi baris perintah. |
99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8
|
N / A |
Win32/PSWTool.WebBrowserPassView.I |
Alat pemulihan kata sandi untuk kata sandi yang disimpan di browser web. |
E52AA118A59502790A4DD6625854BD93C0DEAF27
|
N / A |
MSIL/HackTool.SQLDump.A |
Alat untuk berinteraksi dan mengekstrak data dari database SQL. |
Jalur file
Berikut ini adalah daftar jalur di mana pintu belakang Sponsor diterapkan pada mesin yang menjadi korban.
%SYSTEMDRIVE%inetpubwwwrootaspnet_client
%USERPROFILE%AppDataLocalTempfile
%USERPROFILE%AppDataLocalTemp2rendah
%USERPROFILE%Desktop
%USERPROFILE%Unduhansa
%ANGIN%
%WINDIR%INFMSPengiriman Pertukaran DSN
%WINDIR%Tugas
%WINDIR%Temp%WINDIR%Tempcrashpad1File
jaringan
IP
Penyedia
Pertama kali melihat
terakhir terlihat
Rincian
162.55.137[.]20
GMBH Online Hetzner
2021-06-14
2021-06-15
K&K yang Tidak Berdaya.
37.120.222[.]168
M247 LTD
2021-11-28
2021-12-12
Syarat dan Ketentuan Sponsor.
198.144.189[.]74
lintas warna
2021-11-29
2021-11-29
Situs pengunduhan alat pendukung.
5.255.97[.]172
Grup Infrastruktur BV
2021-09-05
2021-10-28
Situs pengunduhan alat pendukung.
IP
Penyedia
Pertama kali melihat
terakhir terlihat
Rincian
162.55.137[.]20
GMBH Online Hetzner
2021-06-14
2021-06-15
K&K yang Tidak Berdaya.
37.120.222[.]168
M247 LTD
2021-11-28
2021-12-12
Syarat dan Ketentuan Sponsor.
198.144.189[.]74
lintas warna
2021-11-29
2021-11-29
Situs pengunduhan alat pendukung.
5.255.97[.]172
Grup Infrastruktur BV
2021-09-05
2021-10-28
Situs pengunduhan alat pendukung.
Tabel ini dibuat menggunakan versi 13 dari kerangka MITRE ATT&CK.
Taktik |
ID |
Nama |
Deskripsi Produk |
Pengintaian |
Pemindaian Aktif: Pemindaian Kerentanan |
Ballistic Bobcat memindai versi Microsoft Exchange Server yang rentan untuk dieksploitasi. |
|
Pengembangan Sumber Daya |
Kembangkan Kemampuan: Malware |
Bobcat Balistik merancang dan memberi kode pintu belakang Sponsor. |
|
Dapatkan Kemampuan: Alat |
Ballistic Bobcat menggunakan berbagai alat sumber terbuka sebagai bagian dari kampanye Akses Sponsor. |
||
Akses Awal |
Eksploitasi Aplikasi yang Menghadapi Publik |
Bobcat Balistik menargetkan paparan internet Server Microsoft Exchange. |
|
Execution |
Penerjemah Perintah dan Skrip: Windows Command Shell |
Pintu belakang Sponsor menggunakan shell perintah Windows untuk menjalankan perintah pada sistem korban. |
|
Layanan Sistem: Eksekusi Layanan |
Pintu belakang Sponsor menetapkan dirinya sebagai layanan dan memulai fungsi utamanya setelah layanan dijalankan. |
||
Ketekunan |
Buat atau Ubah Proses Sistem: Layanan Windows |
Sponsor mempertahankan persistensi dengan membuat layanan dengan startup otomatis yang menjalankan fungsi utamanya dalam satu putaran. |
|
Eskalasi Privilege |
Akun yang Valid: Akun Lokal |
Operator Balistik Bobcat berupaya mencuri kredensial pengguna yang valid setelah awalnya mengeksploitasi sistem sebelum menerapkan pintu belakang Sponsor. |
|
Penghindaran Pertahanan |
Deobfuscate/Decode File atau Informasi |
Sponsor menyimpan informasi pada disk yang dienkripsi dan dikaburkan, serta membatalkan penyamarannya saat runtime. |
|
File atau Informasi yang Dikaburkan |
File konfigurasi yang diperlukan oleh pintu belakang Sponsor pada disk dienkripsi dan dikaburkan. |
||
Akun yang Valid: Akun Lokal |
Sponsor dijalankan dengan hak istimewa admin, kemungkinan besar menggunakan kredensial yang ditemukan operator di disk; bersama dengan konvensi penamaan Ballistic Bobcat yang tidak berbahaya, hal ini memungkinkan Sponsor untuk menyatu dengan latar belakang. |
||
Akses Kredensial |
Kredensial dari Penyimpanan Kata Sandi: Kredensial dari Peramban Web |
Operator Balistik Bobcat menggunakan alat sumber terbuka untuk mencuri kredensial dari penyimpanan kata sandi di dalam browser web. |
|
penemuan |
Penemuan Sistem Jarak Jauh |
Ballistic Bobcat menggunakan alat Host2IP, yang sebelumnya digunakan oleh Agrius, untuk menemukan sistem lain dalam jaringan yang dapat dijangkau dan menghubungkan nama host dan alamat IP-nya. |
|
Komando dan Pengendalian |
Kebingungan Data |
Pintu belakang Sponsor mengaburkan data sebelum mengirimkannya ke server C&C. |
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Otomotif / EV, Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- ChartPrime. Tingkatkan Game Trading Anda dengan ChartPrime. Akses Di Sini.
- BlockOffset. Modernisasi Kepemilikan Offset Lingkungan. Akses Di Sini.
- Sumber: https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/
- :memiliki
- :adalah
- :bukan
- :Di mana
- $NAIK
- 09
- 1
- 10
- 11
- 12
- 13
- 14
- 15%
- 150
- 16
- 179
- 20
- 2021
- 2022
- 23
- 24
- 25
- 31
- 39
- 51
- 60
- 7
- 8
- 80
- 9
- a
- Sanggup
- Tentang Kami
- atas
- AC
- mengakses
- Menurut
- Akun
- aktif
- aktivis
- kegiatan
- sebenarnya
- menambahkan
- tambahan
- Tambahan
- alamat
- alamat
- admin
- maju
- Setelah
- terhadap
- Agen
- alias
- Waspada
- algoritma
- Semua
- memungkinkan
- sepanjang
- sudah
- juga
- selalu
- an
- dianalisis
- dan
- Lain
- Apa pun
- api
- Lebah
- aplikasi
- semu
- muncul
- muncul
- Aplikasi
- aplikasi
- pendekatan
- aplikasi
- APT
- Arab
- Emirat Arab
- Arab
- arsitektur
- ADALAH
- argumen
- argumen
- AS
- meminta
- At
- berusaha
- Mencoba
- Agustus
- secara otomatis
- otomotif
- sadar
- kembali
- pintu belakang
- backdoors
- latar belakang
- berdasarkan
- baterai
- BE
- menjadi
- karena
- menjadi
- sebelum
- laku
- Percaya
- TERBAIK
- Lebih baik
- antara
- Campuran
- kedua
- Brasil
- browser
- dibangun di
- tapi
- by
- C + +
- bernama
- Kampanye
- Kampanye
- CAN
- kemampuan
- yang
- kasus
- pusat
- Perubahan
- memeriksa
- memeriksa
- terpilih
- sipil
- jelas
- kode
- berkode
- mengumpulkan
- Kolom
- COM
- komersial
- Komunikasi
- komunikasi
- Perusahaan
- perusahaan
- perbandingan
- kompromi
- Dikompromikan
- komputer
- melakukan
- konfigurasi
- DIKONFIRMASI
- membingungkan
- terhubung
- koneksi
- kontak
- mengandung
- isi
- terus
- kontrol
- Konvensi
- koperasi
- bisa
- negara
- negara
- tercakup
- Crash
- menciptakan
- membuat
- Surat kepercayaan
- terbaru
- adat
- pelanggan
- pengalaman pelanggan
- data
- Basis Data
- database
- Hari
- dc
- Desember
- Default
- Pembela
- didefinisikan
- menyampaikan
- pengiriman
- dikerahkan
- penggelaran
- penyebaran
- menggambarkan
- dijelaskan
- Mendesain
- dirancang
- rincian
- terdeteksi
- Deteksi
- Menentukan
- ditentukan
- pengembang
- Pengembangan
- Devices
- Diamond
- menemukan
- ditemukan
- penemuan
- distribusi
- beberapa
- tidak
- domain
- Download
- menjatuhkan
- lamanya
- selama
- e
- setiap
- memudahkan
- Timur
- Pendidikan
- Elektronik
- Elektronik
- emirates
- dipekerjakan
- terenkripsi
- enkripsi
- mengikutsertakan
- bertunangan
- Teknik
- Mesin
- Teka-teki
- Enterprise
- entitas
- lingkungan
- kesalahan
- kesalahan
- Riset ESET
- jelas
- Memeriksa
- contoh
- Pasar Valas
- menjalankan
- dieksekusi
- Laksanakan
- mengeksekusi
- eksekusi
- keluar
- pengalaman
- Mengeksploitasi
- dieksploitasi
- mengeksploitasi
- Gagal
- Kegagalan
- hampir
- beberapa
- bidang
- Fields
- Angka
- File
- File
- keuangan
- jasa keuangan
- perusahaan jasa keuangan
- Perusahaan
- Pertama
- berikut
- makanan
- Untuk
- format
- ditemukan
- empat
- dari
- penuh
- sepenuhnya
- fungsi
- fungsi
- Mendapatkan
- dikumpulkan
- dihasilkan
- menghasilkan
- generasi
- geografis
- mendapatkan
- diberikan
- Aksi
- Go
- Pemerintah
- beasiswa
- besar
- Kelompok
- Setengah
- hash
- hash
- Memiliki
- Kesehatan
- asuransi kesehatan
- kesehatan
- di sini
- menyembunyikan
- tuan rumah
- Namun
- HTML
- http
- HTTPS
- manusia
- hak asasi manusia
- i
- ID
- diidentifikasi
- mengenali
- if
- gambar
- meningkatkan
- in
- Di lain
- termasuk
- Termasuk
- menunjukkan
- menunjukkan
- indikator
- informasi
- Infrastruktur
- mulanya
- mulanya
- Inisiat
- Pertanyaan
- dalam
- asuransi
- Intelijen
- berinteraksi
- menarik
- internal
- ke
- diperkenalkan
- investasi
- IP
- Alamat IP
- Alamat IP
- Israel
- IT
- NYA
- Diri
- Wartawan
- pemeliharaan
- kunci
- kunci-kunci
- Tahu
- dikenal
- Kekurangan
- Terakhir
- kemudian
- Hukum
- lapisan
- paling sedikit
- Panjang
- Mungkin
- Terbatas
- baris
- LINK
- Daftar
- Daftar
- lokal
- terletak
- lagi
- mencari
- TERLIHAT
- Mesin
- terbuat
- mempertahankan
- pemeliharaan
- Mayoritas
- mengelola
- pabrik
- banyak
- pasar
- Cocok
- Mungkin..
- MD5
- berarti
- cara
- Media
- medis
- perawatan medis
- penelitian medis
- tersebut
- pesan
- teliti
- Microsoft
- Tengah
- Timur Tengah
- mungkin
- keberatan
- menit
- hilang
- model
- sederhana
- Modifikasi
- memodifikasi
- modular
- Waktu
- pemantauan
- paling
- multinasional
- beberapa
- nama
- Bernama
- penamaan
- jaringan
- jaringan
- tak pernah
- New
- Terbaru
- berikutnya
- tidak
- simpul
- None
- terutama
- novel
- November
- sekarang
- jumlah
- nomor
- memperoleh
- diperoleh
- Jelas
- of
- Penawaran
- sering
- on
- Di Tempat
- ONE
- yang
- secara online
- hanya
- Buka
- open source
- beroperasi
- beroperasi
- operasi
- operator
- operator
- Kesempatan
- menentang
- or
- urutan
- organisasi
- organisatoris
- organisasi
- asli
- Lainnya
- kami
- di luar
- jalan keluar
- diuraikan
- keluaran
- lebih
- sendiri
- PE
- penuh sesak
- halaman
- pandemi
- bagian
- bagian
- Lulus
- Kata Sandi
- password
- lalu
- tambalan
- pola
- ketekunan
- Personil
- farmasi
- fisik
- Polos
- plato
- Kecerdasan Data Plato
- Data Plato
- silahkan
- Titik
- Sudut pandang
- poin
- bagian
- mungkin
- potensi
- berpotensi
- kekuasaan
- menyajikan
- sebelumnya
- sebelumnya
- primer
- swasta
- hak
- mungkin
- proses
- pengolahan
- Produk
- program
- deret
- terlindung
- perlindungan
- disediakan
- pemberi
- menyediakan
- diterbitkan
- menarik
- terdorong
- R
- acak
- Acak
- agak
- mencapai
- menerima
- diterima
- menerima
- pemulihan
- disebut
- mengenai
- daftar
- pendaftaran
- terkait
- tinggal
- memperbaiki
- BERKALI-KALI
- menggantikan
- diganti
- melaporkan
- Dilaporkan
- laporan
- perwakilan
- permintaan
- permintaan
- membutuhkan
- membutuhkan
- penelitian
- peneliti
- mengakibatkan
- pengecer
- membalikkan
- revisi
- hak
- royalti
- Run
- berjalan
- sama
- melihat
- pemindaian
- pemindaian
- detik
- melihat
- mengirim
- mengirim
- mengirimkan
- mengirim
- September
- Server
- layanan
- Layanan
- perusahaan jasa
- set
- beberapa
- Kulit
- Menunjukkan
- ditunjukkan
- Pertunjukkan
- sisi
- Melihat
- penting
- mirip
- Sederhana
- situs web
- Kulit
- tidur
- So
- Perangkat lunak
- Solusi
- beberapa
- sumber
- spesialisasi
- mengkhususkan diri
- ditentukan
- mensponsori
- mensponsori
- Spot
- Tahap
- standar
- dimulai
- startup
- Negara
- Tangga
- menyimpan
- tersimpan
- toko
- menyerang
- Tali
- struktur
- selanjutnya
- Kemudian
- sukses
- berhasil
- dipasok
- pemasok
- mendukung
- pendukung
- sistem
- sistem
- tabel
- Mengambil
- diambil
- target
- ditargetkan
- penargetan
- target
- Teknologi
- telekomunikasi
- sepuluh
- istilah
- teks
- dari
- bahwa
- Grafik
- informasi
- Dunia
- mereka
- kemudian
- Sana.
- dengan demikian
- Ini
- mereka
- Ketiga
- ini
- itu
- ancaman
- di seluruh
- waktu
- waktu
- TM
- untuk
- bersama
- alat
- alat
- Total
- jalur
- pengobatan
- percobaan
- terowongan
- MENGHIDUPKAN
- dua
- tidak mampu
- Serikat
- Arab Bersatu
- Uni Emirat Arab
- Amerika Serikat
- sampai
- Memperbarui
- diperbarui
- Pembaruan
- atas
- URL
- us
- menggunakan
- bekas
- Pengguna
- kegunaan
- menggunakan
- kegunaan
- dimanfaatkan
- Memanfaatkan
- v1
- nilai
- Nilai - Nilai
- variasi
- berbagai
- versi
- Versi
- vertikal
- Korban
- korban
- View
- Mengunjungi
- Kerentanan
- kerentanan
- Rentan
- adalah
- we
- jaringan
- Browser web
- BAIK
- adalah
- Apa
- ketika
- sedangkan
- apakah
- yang
- sementara
- lebar
- lebar
- jendela
- Windows
- dengan
- dalam
- tanpa
- kerja
- dunia
- Organisasi Kesehatan Dunia
- akan
- menulis
- tertulis
- tahun
- iya nih
- zephyrnet.dll
- nol