Sponsor con baffi archiviati in batch: scansione balistica di Bobcat e attacco backdoor

I ricercatori ESET hanno scoperto una campagna Ballistic Bobcat che prendeva di mira varie entità in Brasile, Israele ed Emirati Arabi Uniti, utilizzando una nuova backdoor che abbiamo chiamato Sponsor.

Abbiamo scoperto Sponsor dopo aver analizzato un interessante campione rilevato sul sistema di una vittima in Israele nel maggio 2022 e analizzato l'insieme delle vittime per paese. Dopo l'esame, ci è apparso evidente che il campione era una nuova backdoor implementata dal gruppo APT Ballistic Bobcat.

Il Bobcat balistico, precedentemente individuato da ESET Research come APT35/APT42 (noto anche come Charming Kitten, TA453 o PHOSPHORUS), è un sospetto Gruppo di minaccia persistente avanzata allineato all’Iran che prende di mira organizzazioni educative, governative e sanitarie, nonché attivisti per i diritti umani e giornalisti. È più attivo in Israele, Medio Oriente e Stati Uniti. In particolare, durante la pandemia, ha preso di mira le organizzazioni legate al COVID-19, tra cui l’Organizzazione Mondiale della Sanità e Gilead Pharmaceuticals, e il personale di ricerca medica.

Si sovrappone alle campagne Ballistic Bobcat e le versioni backdoor dello Sponsor mostrano un modello abbastanza chiaro di sviluppo e implementazione dello strumento, con campagne mirate, ciascuna di durata limitata. Successivamente abbiamo scoperto altre quattro versioni della backdoor dello Sponsor. In totale, abbiamo visto lo Sponsor schierato ad almeno 34 vittime in Brasile, Israele e negli Emirati Arabi Uniti, come indicato in  RIF _Rif143075975 h figura 1
.

Punti chiave di questo post sul blog:

• Abbiamo scoperto una nuova backdoor implementata da Ballistic Bobcat che successivamente abbiamo chiamato Sponsor.
• Ballistic Bobcat ha implementato la nuova backdoor nel settembre 2021, mentre concludeva la campagna documentata in CISA Alert AA21-321A e la campagna PowerLess.
• La backdoor dello Sponsor utilizza file di configurazione archiviati su disco. Questi file vengono distribuiti in modo discreto tramite file batch e deliberatamente progettati per apparire innocui, tentando così di eludere il rilevamento da parte dei motori di scansione.
• Lo sponsor è stato utilizzato per almeno 34 vittime in Brasile, Israele e negli Emirati Arabi Uniti; abbiamo chiamato questa attività campagna di Accesso alla Sponsorizzazione.

Accesso iniziale

Ballistic Bobcat ha ottenuto l'accesso iniziale sfruttando le vulnerabilità note nei server Microsoft Exchange esposti a Internet, conducendo prima scansioni meticolose del sistema o della rete per identificare potenziali punti deboli o vulnerabilità, e successivamente prendendo di mira e sfruttando i punti deboli identificati. È noto che il gruppo adotta questo comportamento da tempo. Tuttavia, molte delle 34 vittime identificate nella telemetria ESET potrebbero essere meglio descritte come vittime di opportunità piuttosto che vittime preselezionate e ricercate, poiché sospettiamo che Ballistic Bobcat sia coinvolto nel comportamento di scansione e sfruttamento sopra descritto perché non era l'unica minaccia attore con accesso a questi sistemi. Abbiamo chiamato questa attività Ballistic Bobcat utilizzando la backdoor dello sponsor campagna di accesso alla sponsorizzazione.

La backdoor dello Sponsor utilizza file di configurazione su disco, rilasciati da file batch, ed entrambi sono innocui in modo da aggirare i motori di scansione. Questo approccio modulare è quello che Ballistic Bobcat ha utilizzato abbastanza spesso e con modesto successo negli ultimi due anni e mezzo. Sui sistemi compromessi, Ballistic Bobcat continua inoltre a utilizzare una varietà di strumenti open source, che descriviamo, insieme alla backdoor dello sponsor, in questo post del blog.

Vittimologia

Una maggioranza significativa delle 34 vittime si trovava in Israele, mentre solo due si trovavano in altri paesi:

• Brasile, presso una cooperativa medica e un operatore di assicurazione sanitaria, e
• negli Emirati Arabi Uniti, presso un'organizzazione non identificata.

 RIF _Rif112861418 h Table 1
descrive i verticali e i dettagli organizzativi per le vittime in Israele.

Table  Tabella SEQ * ARABO 1. Verticali e dettagli organizzativi per le vittime in Israele

Verticale	Dettagli
Automotive	·       Un'azienda automobilistica specializzata in modifiche personalizzate. ·       Azienda di riparazione e manutenzione automobilistica.
Comunicazioni	·       Un mezzo di informazione israeliano.
Ingegneria	·       Una società di ingegneria civile. ·       Una società di ingegneria ambientale. ·       Uno studio di progettazione architettonica.
Servizi finanziari	·       Società di servizi finanziari specializzata nella consulenza in materia di investimenti. ·       Una società che gestisce le royalties.
SANITARIETÀ	·       Un fornitore di cure mediche.
Assicurazione	·       Una compagnia assicurativa che gestisce un mercato assicurativo. ·       Una compagnia assicurativa commerciale.
Legge	·       Studio specializzato in diritto medico.
Produzione	·       Molteplici aziende produttrici di elettronica. ·       Un'azienda che produce prodotti commerciali a base di metallo. ·       Una multinazionale produttrice di tecnologia.
Retail	·       Un rivenditore di prodotti alimentari. ·       Una multinazionale del commercio di diamanti. ·       Un rivenditore di prodotti per la cura della pelle. ·       Rivenditore e installatore di serramenti. ·       Un fornitore globale di componenti elettronici. ·       Un fornitore di controllo degli accessi fisici.
Tecnologia	·       Una società di tecnologia di servizi IT. ·       Un fornitore di soluzioni IT.
Telecomunicazioni	·       Una società di telecomunicazioni.
non identificato	·       Molteplici organizzazioni non identificate.

Attribuzione

Nell'agosto 2021, la vittima israeliana di cui sopra che gestisce un mercato assicurativo è stata attaccata da Ballistic Bobcat con gli strumenti Segnalato CISA nel novembre 2021. Gli indicatori di compromesso che abbiamo osservato sono:

• MicrosoftOutlookUpdateSchedule,
• MicrosoftOutlookUpdateSchedule.xml,
• GoogleChangeManagemente
• GoogleChangeManagement.xml.

Gli strumenti balistici Bobcat comunicavano con lo stesso server di comando e controllo (C&C) del rapporto CISA: 162.55.137[.]20.

Poi, nel settembre 2021, la stessa vittima ha ricevuto la generazione successiva di strumenti Ballistic Bobcat: il Backdoor senza potere e il relativo set di strumenti di supporto. Gli indicatori di compromesso che abbiamo osservato sono stati:

• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/dll.dll,
• windowsprocesses.exee
• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/windowsprocesses.exe.

Novembre 18^th, 2021, il gruppo ha poi implementato un altro strumento (Plink) che è stato trattato nella relazione della CISA, come MicrosoftOutLookUpdater.exe. Dieci giorni dopo, il 28 novembre^th, 2021, Ballistic Bobcat ha schierato il Agente Merlino (la parte dell'agente di an server e agente C&C post-sfruttamento open source scritti in Go). Sul disco è stato nominato questo agente Merlin googleUpdate.exe, utilizzando la stessa convenzione di denominazione descritta nel rapporto CISA per nascondersi in bella vista.

L'agente Merlin ha eseguito una shell inversa Meterpreter che ha richiamato un nuovo server C&C, 37.120.222[.]168:80. Il 12 dicembre^th, 2021, la shell inversa ha rilasciato un file batch, install.bate, pochi minuti dopo l'esecuzione del file batch, gli operatori di Ballistic Bobcat hanno inserito la loro nuova backdoor, Sponsor. Questa risulterebbe essere la terza versione della backdoor.

Analisi tecnica

Accesso iniziale

Siamo stati in grado di identificare un probabile mezzo di accesso iniziale per 23 delle 34 vittime osservate nella telemetria ESET. Similmente a quanto riportato nel meno potente ed CISA rapporti, Ballistic Bobcat probabilmente ha sfruttato una vulnerabilità nota, CVE-2021-26855, nei server Microsoft Exchange per prendere piede su questi sistemi.

Per 16 delle 34 vittime, sembra che Ballistic Bobcat non fosse l'unico autore di minacce con accesso ai loro sistemi. Ciò potrebbe indicare, insieme all’ampia varietà di vittime e all’apparente mancanza di evidente valore di intelligence di alcune vittime, che Ballistic Bobcat si è impegnato in comportamenti di scansione e sfruttamento, in contrapposizione a una campagna mirata contro vittime preselezionate.

toolset

Strumenti open source

Ballistic Bobcat ha utilizzato una serie di strumenti open source durante la campagna Sponsoring Access. Tali strumenti e le relative funzioni sono elencati in  RIF _Rif112861458 h Table 2
.

Table  Tabella SEQ * ARABO 2. Strumenti open source utilizzati da Ballistic Bobcat

Nome del file	Descrizione
host2ip.exe	Mappe a nome host in un indirizzo IP all'interno della rete locale.
CSRSS.EXE	RevSocks, un'applicazione di tunnel inverso.
mi.exe	Mimikatz, con un nome file originale di midongle.exe e imballato con il Imballatore in PE Armadillo.
gost.exe	VAI Tunnel semplice (GOST), un'applicazione di tunneling scritta in Go.
scalpello.exe	Scalpello, un tunnel TCP/UDP su HTTP che utilizza livelli SSH.
csrss_protetto.exe	Tunnel RevSocks, protetto con la versione di prova del Protezione del software Enigma Protector.
plink.exe	Plink (PuTTY Link), uno strumento di connessione da riga di comando.
WebBrowserPassView.exe	A strumento di recupero password per le password memorizzate nei browser web.
sqlextractor.exe	A per interagire ed estrarre dati dai database SQL.
procdump64.exe	ProcDump, un  Utilità della riga di comando Sysinternals per il monitoraggio delle applicazioni e la generazione di dump di arresti anomali.

File batch

Ballistic Bobcat ha distribuito file batch nei sistemi delle vittime pochi istanti prima di implementare la backdoor dello Sponsor. I percorsi dei file di cui siamo a conoscenza sono:

• C:inetpubwwwrootaspnet_clientInstall.bat
• %USERPROFILE%DesktopInstall.bat
• %WINDOWS%TasksInstall.bat

Sfortunatamente, non siamo riusciti a ottenere nessuno di questi file batch. Tuttavia, riteniamo che scrivano file di configurazione innocui sul disco, necessari alla backdoor dello Sponsor per funzionare pienamente. Questi nomi di file di configurazione sono stati presi dalle backdoor dello Sponsor ma non sono mai stati raccolti:

• Config.txt
• nodo.txt
• errore.txt
• Disinstalla.bat

Riteniamo che i file batch e i file di configurazione facciano parte del processo di sviluppo modulare che Ballistic Bobcat ha favorito negli ultimi anni.

Backdoor dello sponsor

Le backdoor degli sponsor sono scritte in C++ con timestamp di compilazione e percorsi del database dei programmi (PDB) come mostrato in  RIF _Rif112861527 h Table 3
. Una nota sui numeri di versione: la colonna Versione rappresenta la versione che tracciamo internamente in base alla progressione lineare delle backdoor dello Sponsor in cui vengono apportate modifiche da una versione a quella successiva. IL Versione interna La colonna contiene i numeri di versione osservati in ogni backdoor dello Sponsor e sono inclusi per facilitare il confronto durante l'esame di questi e altri potenziali campioni dello Sponsor.

Table 3. Timestamp e PDB di compilazione dello sponsor

Versione	Versione interna	Timestamp di compilazione	PDB
1	1.0.0	2021-08-29 09:12:51	D:TempBD_Plus_SrvcReleaseBD_Plus_Srvc.pdb
2	1.0.0	2021-10-09 12:39:15	D:TempSponsorReleaseSponsor.pdb
3	1.4.0	2021-11-24 11:51:55	D:TempSponsorReleaseSponsor.pdb
4	2.1.1	2022-02-19 13:12:07	D:TempSponsorReleaseSponsor.pdb
5	1.2.3.0	2022-06-19 14:14:13	D:TempAluminaReleaseAlumina.pdb

L'esecuzione iniziale di Sponsor richiede l'argomento runtime install, senza il quale lo Sponsor esce con garbo, probabilmente una semplice tecnica anti-emulazione/anti-sandbox. Se viene superato questo argomento, lo Sponsor crea un servizio chiamato Rete di sistema (in v1) e Aggiornanento (in tutte le altre versioni). Imposta il servizio Tipo di avvio a Automaticoe lo imposta per eseguire il proprio processo Sponsor e gli garantisce l'accesso completo. Quindi avvia il servizio.

Sponsor, ora in esecuzione come servizio, tenta di aprire i suddetti file di configurazione precedentemente posizionati sul disco. Cerca Config.txt ed nodo.txt, entrambi nella directory di lavoro corrente. Se manca il primo, lo Sponsor imposta il servizio su Arrestato ed esce con grazia.

Configurazione backdoor

Configurazione dello sponsor, memorizzata in Config.txt, contiene due campi:

• Un intervallo di aggiornamento, in secondi, per contattare periodicamente il server C&C per i comandi.
• Un elenco di server C&C, indicati come relè nei file binari dello Sponsor.

I server C&C sono archiviati crittografati (RC4) e la chiave di decrittografia è presente nella prima riga di Config.txt. Ciascuno dei campi, inclusa la chiave di decrittazione, ha il formato mostrato in  RIF _Rif142647636 h figura 3
.

Questi sottocampi sono:

• config_start: indica la lunghezza di nome_config, se presente, o zero, in caso contrario. Utilizzato dalla backdoor per sapere dove dati_config inizia.
• config_len: lunghezza di dati_config.
• nome_config: facoltativo, contiene un nome dato al campo di configurazione.
• dati_config: la configurazione stessa, crittografata (nel caso dei server C&C) o meno (tutti gli altri campi).

 RIF _Rif142648473 h figura 4
mostra un esempio con il contenuto codificato a colori di un possibile Config.txt file. Tieni presente che questo non è un file reale che abbiamo osservato, ma un esempio inventato.

Gli ultimi due campi in entrata Config.txt sono crittografati con RC4, utilizzando la rappresentazione della stringa dell'hash SHA-256 della chiave di decrittografia specificata, come chiave per crittografare i dati. Vediamo che i byte crittografati vengono archiviati con codifica esadecimale come testo ASCII.

Raccolta di informazioni sugli ospiti

Lo sponsor raccoglie informazioni sull'host su cui è in esecuzione, riporta tutte le informazioni raccolte al server C&C e riceve un ID nodo, che viene scritto su nodo.txt.  RIF _Rif142653641 h Table 4
RIF _Rif112861575 h
 elenca le chiavi e i valori nel registro di Windows che lo Sponsor utilizza per ottenere le informazioni e fornisce un esempio dei dati raccolti.

Tabella 4. Informazioni raccolte dallo Sponsor

Chiave di registro	Valore	Esempio
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters	Nome host	D-835MK12
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTimeZoneInformation	NomeChiaveZoneOrario	Israele Standard Time
HKEY_USERS.DEFAULTPannello di controlloInternazionale	NomeLocale	lui-IL
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONBIOS di sistema	BaseBoardProdotto	10NX0010IL
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessor	ProcessorNameString	CPU Intel (R) Core (TM) i7-8565U @ 1.80GHz
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion	Nome del prodotto	Windows 10 Enterprise N
	CurrentVersion	6.3
	Numero di build attuale	19044
	Tipo di installazione	.

Lo sponsor raccoglie anche il dominio Windows dell'host utilizzando quanto segue WMIC comando:

il sistema informatico wmic ottiene il dominio

Infine, lo sponsor utilizza le API di Windows per raccogliere il nome utente corrente (OttieniNomeUtenteW), determinare se l'attuale processo Sponsor è in esecuzione come applicazione a 32 o 64 bit (GetCurrentProcess, poi IsWow64Process(Processo corrente)) e determina se il sistema è alimentato a batteria o collegato a una fonte di alimentazione CA o CC (Ottieni SystemPowerStatus).

Una stranezza riguardo al controllo delle applicazioni a 32 o 64 bit è che tutti i campioni osservati di Sponsor erano a 32 bit. Ciò potrebbe significare che alcuni degli strumenti della fase successiva richiedono queste informazioni.

Le informazioni raccolte vengono inviate in un messaggio con codifica base64 che, prima della codifica, inizia con r e ha il formato mostrato in  RIF _Rif142655224 h figura 5
.

Le informazioni vengono crittografate con RC4 e la chiave di crittografia è un numero casuale generato sul posto. La chiave viene sottoposta ad hashing con l'algoritmo MD5, non SHA-256 come menzionato in precedenza. Questo è il caso di tutte le comunicazioni in cui lo Sponsor deve inviare dati crittografati.

Il server C&C risponde con un numero utilizzato per identificare il computer vittimizzato nelle comunicazioni successive, a cui viene scritto nodo.txt. Tieni presente che il server C&C viene scelto casualmente dall'elenco quando il file r viene inviato il messaggio e lo stesso server viene utilizzato in tutte le comunicazioni successive.

Ciclo di elaborazione dei comandi

Lo sponsor richiede comandi in loop, dormendo in base all'intervallo definito in Config.txt. I passaggi sono:

1. Invia un chk=Prova messaggio ripetutamente, finché il server C&C non risponde Ok.
2. Invia un c (IS_CMD_AVAIL) messaggio al server C&C e ricevere un comando dall'operatore.
3. Elabora il comando.
   • Se è presente un output da inviare al server C&C, inviare un file a (ACK) messaggio, compreso l'output (crittografato), oppure
   • Se l'esecuzione fallisce, invia un f (FALLITA) Messaggio. Il messaggio di errore non viene inviato.
4. Dormire.

Il c il messaggio viene inviato per richiedere l'esecuzione di un comando e ha il formato (prima della codifica base64) mostrato in  RIF _Rif142658017 h figura 6
.

Il crittografato_none Il campo nella figura è il risultato della crittografia della stringa hardcoded Nessuna con RC4. La chiave per la crittografia è l'hash MD5 di id_nodo.

L'URL utilizzato per contattare il server C&C è costruito come: http://<IP_or_domain>:80. Questo potrebbe indicare che 37.120.222[.]168:80 è l'unico server C&C utilizzato durante la campagna di Sponsoring Access, poiché è stato l'unico indirizzo IP a cui abbiamo osservato le macchine delle vittime raggiungere la porta 80.

Comandi dell'operatore

I comandi dell'operatore sono delineati in  RIF _Rif112861551 h Table 5
e compaiono nell'ordine in cui si trovano nel codice. La comunicazione con il server C&C avviene tramite la porta 80.

Tabella 5. Comandi e descrizioni dell'operatore

Comando	Descrizione
p	Invia l'ID processo per il processo Sponsor in esecuzione.
e	Esegue un comando, come specificato in un argomento aggiuntivo successivo, sull'host Sponsor utilizzando la seguente stringa: c:windowssystem32cmd.exe /c    > risultato.txt 2>&1 I risultati sono memorizzati in result.txt nella directory di lavoro corrente. Invia un a messaggio con l'output crittografato al server C&C se eseguito correttamente. Se fallisce, invia un f messaggio (senza specificare l'errore).
d	Riceve un file dal server C&C e lo esegue. Questo comando ha molti argomenti: il nome file di destinazione in cui scrivere il file, l'hash MD5 del file, una directory in cui scrivere il file (o la directory di lavoro corrente, per impostazione predefinita), un valore booleano per indicare se eseguire il file o not, e il contenuto del file eseguibile, codificato base64. Se non si verificano errori, an a il messaggio viene inviato al server C&C con Carica ed esegui il file con successo or Carica il file con successo senza eseguirlo (crittografato). Se si verificano errori durante l'esecuzione del file, an f il messaggio viene inviato. Se l'hash MD5 del contenuto del file non corrisponde all'hash fornito, an e (ERRORE_CRC) viene inviato al server C&C (includendo solo la chiave di crittografia utilizzata e nessun'altra informazione). L'uso del termine Caricare Ciò crea potenzialmente confusione in quanto gli operatori e i programmatori di Ballistic Bobcat assumono il punto di vista dal lato server, mentre molti potrebbero vederlo come un download basato sull'estrazione del file (ovvero sul download) da parte del sistema utilizzando la backdoor dello Sponsor.
u	Tenta di scaricare un file utilizzando il file URLDownloadFileW API di Windows ed eseguirlo. Il successo invia un a messaggio con la chiave di crittografia utilizzata e nessun'altra informazione. Il fallimento invia un f messaggio con una struttura simile.
s	Esegue un file già su disco, Disinstalla.bat nella directory di lavoro corrente, che molto probabilmente contiene comandi per eliminare i file relativi alla backdoor.
n	Questo comando può essere fornito esplicitamente da un operatore o può essere dedotto dallo Sponsor come comando da eseguire in assenza di qualsiasi altro comando. Denominato all'interno dello Sponsor come NO_CMD, esegue una sospensione casuale prima di effettuare nuovamente il check-in con il server C&C.
b	Aggiorna l'elenco dei C&C archiviati in Config.txt nella directory di lavoro corrente. I nuovi indirizzi C&C sostituiscono i precedenti; non vengono aggiunti all'elenco. Invia un a messaggio con Nuovi relè sostituiti con successo (crittografato) al server C&C se aggiornato correttamente.
i	Aggiorna l'intervallo di check-in predeterminato specificato in Config.txt. Invia un a messaggio con Nuovo intervallo sostituito correttamente al server C&C se aggiornato correttamente.

Aggiornamenti allo sponsor

I programmatori balistici di Bobcat hanno effettuato revisioni del codice tra Sponsor v1 e v2. I due cambiamenti più significativi in ​​quest’ultimo sono:

• Ottimizzazione del codice in cui diverse funzioni più lunghe sono state ridotte al minimo in funzioni e sottofunzioni e
• Travestire lo Sponsor da programma di aggiornamento includendo il seguente messaggio nella configurazione del servizio:

Gli aggiornamenti delle app sono ottimi sia per gli utenti delle app che per le app: gli aggiornamenti significano che gli sviluppatori lavorano sempre per migliorare l'app, tenendo presente una migliore esperienza del cliente con ogni aggiornamento.

Infrastruttura di rete

Oltre a sfruttare l'infrastruttura C&C utilizzata nella campagna PowerLess, Ballistic Bobcat ha anche introdotto un nuovo server C&C. Il gruppo ha inoltre utilizzato più IP per archiviare e fornire strumenti di supporto durante la campagna di Sponsoring Access. Abbiamo confermato che nessuno di questi IP è operativo in questo momento.

Conclusione

Ballistic Bobcat continua a operare secondo un modello di scansione e sfruttamento, alla ricerca di obiettivi di opportunità con vulnerabilità senza patch nei server Microsoft Exchange esposti a Internet. Il gruppo continua a utilizzare un set di strumenti open source diversificato integrato con diverse applicazioni personalizzate, inclusa la backdoor dello Sponsor. I difensori farebbero bene a patchare tutti i dispositivi esposti a Internet e rimanere vigili per le nuove applicazioni che spuntano all’interno delle loro organizzazioni.

Per qualsiasi domanda sulla nostra ricerca pubblicata su WeLiveSecurity, contattaci all'indirizzo threatintel@eset.com.
ESET Research offre report di intelligence APT privati ​​e feed di dati. Per qualsiasi domanda su questo servizio, visitare il Intelligence sulle minacce ESET .

IOCS

File

SHA-1	Nome del file	rivelazione	Descrizione
098B9A6CE722311553E1D8AC5849BA1DC5834C52	N/A	Win32/Agent.UXG	Backdoor balistico Bobcat, Sponsor (v1).
5AEE3C957056A8640041ABC108D0B8A3D7A02EBD	N/A	Win32/Agent.UXG	Backdoor balistico Bobcat, Sponsor (v2).
764EB6CA3752576C182FC19CFF3E86C38DD51475	N/A	Win32/Agent.UXG	Backdoor balistico Bobcat, Sponsor (v3).
2F3EDA9D788A35F4C467B63860E73C3B010529CC	N/A	Win32/Agent.UXG	Backdoor balistico Bobcat, Sponsor (v4).
E443DC53284537513C00818392E569C79328F56F	N/A	Win32/Agent.UXG	Backdoor balistico Bobcat, Sponsor (v5, alias Alumina).
C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61	N/A	WinGo/Agente.BT	Tunnel inverso RevSocks.
39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6	N/A	cavedano	ProcDump, un'utilità da riga di comando per monitorare le applicazioni e generare dump di arresti anomali.
A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A	N/A	Generico.EYWYQYF	Mimikatz.
5D60C8507AC9B840A13FFDF19E3315A3E14DE66A	N/A	WinGo/Riskware.Gost.D	GO Tunnel semplice (GOST).
50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617	N/A	WinGo/HackTool.Chisel.A	Tunnel inverso a scalpello.
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252	N/A	N/A	Strumento di rilevamento Host2IP.
519CA93366F1B1D71052C6CE140F5C80CE885181	N/A	Win64/Packed.Enigma.BV	Tunnel RevSocks, protetto con la versione di prova della protezione software Enigma Protector.
4709827C7A95012AB970BF651ED5183083366C79	N/A	N/A	Plink (PuTTY Link), uno strumento di connessione da riga di comando.
99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8	N/A	Win32/PSWTool.WebBrowserPassView.I	Uno strumento di recupero password per le password memorizzate nei browser web.
E52AA118A59502790A4DD6625854BD93C0DEAF27	N/A	MSIL/HackTool.SQLDump.A	Uno strumento per interagire ed estrarre dati dai database SQL.

 

Percorsi file

Di seguito è riportato un elenco di percorsi in cui la backdoor dello Sponsor è stata distribuita sulle macchine vittimizzate.

%SYSTEMDRIVE%inetpubwwwrootaspnet_client

%USERPROFILE%AppDataLocalTempfile

%USERPROFILE%AppDataLocalTemp2low

% USERPROFILE% Desktop

%USERPROFILE%Downloada

%VENTO%

%WINDIR%INFMSDSN di consegna di Exchange

%WINDIR%Attività

%WINDIR%Temp%WINDIR%Tempcrashpad1File

Network NetPoulSafe

IP	Provider	Visto per la prima volta	Visto l'ultima volta	Dettagli
162.55.137[.]20	Hetzner Online GMBH	2021-06-14	2021-06-15	C&C senza potere.
37.120.222[.]168	M247 LTD	2021-11-28	2021-12-12	Sponsor C&C.
198.144.189[.]74	Colocrossing	2021-11-29	2021-11-29	Sito per il download degli strumenti di supporto.
5.255.97[.]172	Il gruppo infrastrutturale BV	2021-09-05	2021-10-28	Sito per il download degli strumenti di supporto.

Questa tabella è stata creata utilizzando Versione 13 del framework MITRE ATT&CK.

tattica	ID	Nome	Descrizione
Ricognizione	T1595	Scansione attiva: scansione delle vulnerabilità	Ballistic Bobcat ricerca versioni vulnerabili dei server Microsoft Exchange da sfruttare.
Sviluppo delle risorse	T1587.001	Capacità di sviluppo: malware	Ballistic Bobcat ha progettato e codificato la backdoor dello Sponsor.
	T1588.002	Ottieni capacità: strumento	Ballistic Bobcat utilizza vari strumenti open source come parte della campagna Sponsoring Access.
Accesso iniziale	T1190	Sfrutta l'applicazione rivolta al pubblico	Bobcat balistico prende di mira quelli esposti a Internet  Server Microsoft Exchange.
	T1059.003	Interprete di comandi e script: Shell dei comandi di Windows	La backdoor dello Sponsor utilizza la shell dei comandi di Windows per eseguire comandi sul sistema della vittima.
	T1569.002	Servizi di sistema: esecuzione del servizio	La backdoor dello Sponsor si pone come servizio e avvia le sue funzioni primarie dopo che il servizio è stato eseguito.
Persistenza	T1543.003	Crea o modifica processo di sistema: servizio Windows	Lo sponsor mantiene la persistenza creando un servizio con avvio automatico che esegue le sue funzioni primarie in un ciclo.
Aumento dei privilegi	T1078.003	Account validi: account locali	Gli operatori balistici di Bobcat tentano di rubare le credenziali di utenti validi dopo aver inizialmente sfruttato un sistema prima di implementare la backdoor dello Sponsor.
Evasione della difesa	T1140	Deoffuscare/decodificare file o informazioni	Lo sponsor archivia le informazioni su un disco crittografato e offuscato e le deoffusca in fase di esecuzione.
	T1027	File o informazioni offuscati	I file di configurazione che la backdoor dello Sponsor richiede sul disco sono crittografati e offuscati.
	T1078.003	Account validi: account locali	Lo sponsor viene eseguito con privilegi di amministratore, probabilmente utilizzando le credenziali trovate dagli operatori sul disco; insieme alle innocue convenzioni di denominazione di Ballistic Bobcat, ciò consente allo Sponsor di mimetizzarsi con lo sfondo.
Accesso alle credenziali	T1555.003	Credenziali da archivi password: Credenziali da browser web	Gli operatori balistici di Bobcat utilizzano strumenti open source per rubare credenziali dagli archivi di password all'interno dei browser web.
Ricerca e Sviluppo	T1018	Scoperta del sistema remoto	Ballistic Bobcat utilizza lo strumento Host2IP, precedentemente utilizzato da Agrius, per scoprire altri sistemi all'interno di reti raggiungibili e correlare i loro nomi host e indirizzi IP.
Comando e controllo	T1001	Offuscamento dei dati	La backdoor dello Sponsor offusca i dati prima di inviarli al server C&C.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Automobilistico/VE, Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Grafico Prime. Migliora il tuo gioco di trading con ChartPrime. Accedi qui.
• BlockOffset. Modernizzare la proprietà della compensazione ambientale. Accedi qui.
• Fonte: https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/