נותנת חסות עם שפם אצווה: סריקה ופגיעה בדלת אחורית של בובקט בליסטי

חוקרי ESET גילו מסע פרסום בובקט בליסטי המכוון לגורמים שונים בברזיל, ישראל ואיחוד האמירויות הערביות, תוך שימוש בדלת אחורית חדשה שקראנו לה חסות.

גילינו את נותן החסות לאחר שניתחנו מדגם מעניין שזיהינו במערכת של קורבן בישראל במאי 2022 וחיפשנו את הקורבן לפי מדינה. לאחר בדיקה, התברר לנו שהדגימה היא דלת אחורית חדשה שנפרסה על ידי קבוצת ה-Ballistic Bobcat APT.

בובקט בליסטי, שעקבו בעבר על ידי ESET Research בתור APT35/APT42 (הידוע בשם Charming Kitten, TA453 או PHOSPHORUS), הוא חשוד קבוצת איום מתמשכת המתקדמת המתישרת לאיראן המכוון לארגוני חינוך, ממשל ובריאות, כמו גם פעילי זכויות אדם ועיתונאים. הוא פעיל ביותר בישראל, במזרח התיכון ובארצות הברית. יש לציין כי במהלך המגיפה היא פנתה לארגונים הקשורים ל-COVID-19, כולל ארגון הבריאות העולמי ו-Gilead Pharmaceuticals, ואנשי מחקר רפואיים.

חפיפות בין מסעות פרסום בובקט בליסטי גרסאות דלת אחורית של חסות מציגות דפוס ברור למדי של פיתוח ופריסה של כלים, עם מסעות פרסום ממוקדים צר, כל אחד באורך מוגבל. לאחר מכן גילינו ארבע גרסאות אחרות של דלת החסות האחורית. בסך הכל ראינו את נותנת החסות נפרסת לפחות ל-34 קורבנות בברזיל, ישראל ואיחוד האמירויות הערביות, כפי שמתואר ב-  REF _Ref143075975 h תרשים 1
.

נקודות מפתח של פוסט זה בבלוג:

• גילינו דלת אחורית חדשה שנפרסה על ידי בובקט בליסטי, שלאחר מכן קראנו לה חסות.
• Ballistic Bobcat פרסה את הדלת האחורית החדשה בספטמבר 2021, בזמן שהיא סיימה את הקמפיין שתועד ב-CISA Alert AA21-321A ובקמפיין PowerLess.
• הדלת האחורית של נותן החסות משתמשת בקובצי תצורה המאוחסנים בדיסק. קבצים אלה נפרסים בדיסקרטיות על ידי קבצי אצווה ומתוכננים בכוונה להראות תמימים, ובכך מנסים להתחמק מזיהוי על ידי מנועי סריקה.
• חסות נפרסה לפחות ל-34 קורבנות בברזיל, ישראל ואיחוד האמירויות; קראנו לפעילות זו בשם מסע הפרסום של גישת חסות.

גישה ראשונית

Ballistic Bobcat השיג גישה ראשונית על ידי ניצול פגיעויות ידועות בשרתי Microsoft Exchange חשופים לאינטרנט על ידי ביצוע תחילה סריקות מדוקדקות של המערכת או הרשת כדי לזהות חולשות או פגיעויות פוטנציאליות, ולאחר מכן מיקוד וניצול חולשות אלו שזוהו. ידוע שהקבוצה עוסקת בהתנהגות זו כבר זמן מה. עם זאת, ניתן לתאר רבים מ-34 הקורבנות שזוהו בטלמטריה של ESET כקורבנות של הזדמנויות ולא כקורבנות שנבחרו ונחקרו מראש, מכיוון שאנו חושדים כי בובקט בליסט עסק בהתנהגות הסריקה והניצול המתוארת לעיל, כי זה לא היה האיום היחיד. שחקן בעל גישה למערכות אלו. קראנו לפעילות בובקט הבליסטית הזו תוך שימוש בדלת האחורית של החסות בשם מסע הפרסום של גישת חסות.

הדלת האחורית של נותן החסות משתמשת בקבצי תצורה בדיסק, שהונפקו על ידי קבצי אצווה, ושניהם לא מזיקים כדי לעקוף מנועי סריקה. גישה מודולרית זו היא גישה ש-Ballistic Bobcat השתמש בה לעתים קרובות למדי ובהצלחה צנועה בשנתיים וחצי האחרונות. במערכות שנפגעו, Ballistic Bobcat גם ממשיך להשתמש במגוון כלים של קוד פתוח, אותם אנו מתארים - יחד עם דלת החסות האחורית - בפוסט זה בבלוג.

קורבנות

רוב ניכר מ-34 הקורבנות אותרו בישראל, כאשר רק שניים אותרו במדינות אחרות:

• ברזיל, בקואופרטיב רפואי ומפעיל ביטוח בריאות, ו
• איחוד האמירויות הערביות, בארגון לא מזוהה.

 REF _Ref112861418 h טבלתי 1
מתאר את האנכיות, ואת הפרטים הארגוניים, עבור הקורבנות בישראל.

טבלתי  טבלת SEQ * ערבית 1. אנכיים ופרטים ארגוניים לנפגעים בישראל

אנכי	פרטים
כלי רכב	·       חברת רכב המתמחה בשינויים בהתאמה אישית. ·       חברה לתיקון ותחזוקת רכב.
תקשורת	·       כלי תקשורת ישראלי.
הנדסה	·       חברת הנדסה אזרחית. ·       משרד הנדסה סביבתי. ·       משרד לעיצוב אדריכלים.
שירותים פיננסיים	·       חברת שירותים פיננסיים המתמחה בייעוץ השקעות. ·       חברה שמנהלת תמלוגים.
בריאות	·       נותן טיפול רפואי.
ביטוח	·       חברת ביטוח המפעילה שוק ביטוח. ·       חברת ביטוח מסחרית.
חוק	·       משרד המתמחה במשפט רפואי.
ייצור	·       מספר חברות לייצור אלקטרוניקה. ·       חברה המייצרת מוצרים מסחריים מבוססי מתכת. ·       חברה רב לאומית לייצור טכנולוגיה.
קניות	·       קמעונאי מזון. ·       קמעונאי יהלומים רב לאומי. ·       קמעונאית של מוצרי טיפוח לעור. ·       קמעונאי ומתקין טיפולי חלונות. ·       ספקית חלקים אלקטרוניים עולמית. ·       ספק בקרת כניסה פיזית.
טכנולוגיה	·       חברת טכנולוגיה לשירותי IT. ·       ספק פתרונות IT.
תקשורת	·       חברת טלקומוניקציה.
לא מזוהה	·       מספר ארגונים לא מזוהים.

ייחוס

באוגוסט 2021, הקורבן הישראלי למעלה שמפעיל שוק ביטוח הותקף על ידי בובקט בליסטי בכלים CISA דיווח בנובמבר 2021. האינדיקטורים לפשרה שצפינו הם:

• MicrosoftOutlookUpdateSchedule,
• MicrosoftOutlookUpdateSchedule.xml,
• GoogleChangeManagement, ו
• GoogleChangeManagement.xml.

כלי בובקט בליסטיים תקשרו עם אותו שרת פיקוד ובקרה (C&C) כמו בדוח CISA: 162.55.137[.]20.

ואז, בספטמבר 2021, אותו קורבן קיבל את הדור הבא של כלי בובקט בליסטי: דלת אחורית ללא כוח וערכת הכלים התומכת שלו. האינדיקטורים לפשרה שראינו היו:

• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/dll.dll,
• windowsprocesses.exe, ו
• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/windowsprocesses.exe.

בנובמבר 18^th, 2021, הקבוצה פרסה כלי נוסף (פלינק) שכוסה בדוח CISA, as MicrosoftOutLookUpdater.exe. עשרה ימים לאחר מכן, ב-28 בנובמבר^th, 2021, בובקט בליסטי פרס את סוכן מרלין (חלק הסוכן של an קוד פתוח לאחר ניצול שרת C&C וסוכן כתובים ב-Go). בדיסק נקרא סוכן מרלין הזה googleUpdate.exe, תוך שימוש באותה מוסכמות שמות המתוארת בדוח CISA כדי להסתתר לעין.

סוכן מרלין ביצע מעטפת הפוכה של Meterpreter שהתקשרה חזרה לשרת C&C חדש, 37.120.222[.]168:80. ב-12 בדצמבר^th, 2021, המעטפת ההפוכה הפילה קובץ אצווה, install.bat, ותוך דקות מביצוע קובץ האצווה, מפעילי בובקט בליסטי דחפו את הדלת האחורית החדשה ביותר שלהם, חסות. זו תתברר כגרסה השלישית של הדלת האחורית.

ניתוח טכני

גישה ראשונית

הצלחנו לזהות אמצעי גישה ראשוני סביר עבור 23 מתוך 34 הקורבנות שצפינו בטלמטריה של ESET. בדומה למה שדווח ב- חֲסַר אוֹנִים ו CISA מדווח, בובקט בליסטי כנראה ניצל פגיעות ידועה, CVE-2021-26855, בשרתי Microsoft Exchange כדי להשיג דריסת רגל במערכות אלו.

עבור 16 מתוך 34 הקורבנות, נראה שבובקט הבליסטי לא היה שחקן האיומים היחיד עם גישה למערכות שלהם. זה עשוי להעיד, יחד עם המגוון הרחב של הקורבנות והיעדר הערך המודיעיני הברור של כמה קורבנות, שבובקט בליסטי עסק בהתנהגות סריקה וניצול, בניגוד לקמפיין ממוקד נגד קורבנות שנבחרו מראש.

ערכת כלים

כלי קוד פתוח

Ballistic Bobcat השתמש במספר כלים בקוד פתוח במהלך מסע הפרסום ל- Sponsoring Access. כלים אלה והתפקודים שלהם מפורטים ב  REF _Ref112861458 h טבלתי 2
.

טבלתי  טבלת SEQ * ערבית 2. כלי קוד פתוח המשמשים את בובקט בליסטי

שם הקובץ	תיאור
host2ip.exe	מפות א שם מארח לכתובת IP בתוך הרשת המקומית.
CSRSS.EXE	RevSocks, יישום מנהרה הפוכה.
mi.exe	Mimikatz, עם שם קובץ מקורי של midongle.exe וארוז עם ה ארמדיל PE אורז.
gost.exe	GO Simple Tunnel (GOST), אפליקציית מנהור שנכתבה ב-Go.
chisel.exe	אִזְמֵל, מנהרת TCP/UDP על HTTP באמצעות שכבות SSH.
csrss_protected.exe	מנהרת RevSocks, מוגנת עם גרסת הניסיון של הגנת תוכנת Enigma Protector.
plink.exe	פלינק (PuTTY Link), כלי לחיבור שורת פקודה.
WebBrowserPassView.exe	A כלי לשחזור סיסמאות עבור סיסמאות המאוחסנות בדפדפני אינטרנט.
sqlextractor.exe	A כלי לאינטראקציה עם מסדי נתונים של SQL וחילוץ מהם נתונים.
procdump64.exe	ProcDump,  כלי שורת הפקודה של Sysinternals לניטור יישומים ויצירת dump dump של התרסקות.

קבצי אצווה

Ballistic Bobcat פרסה קבצי אצווה למערכות של הקורבנות רגע לפני פריסת הדלת האחורית של החסות. נתיבי קבצים שאנו מודעים להם הם:

• C:inetpubwwwrootaspnet_clientInstall.bat
• %USERPROFILE%DesktopInstall.bat
• %WINDOWS%TasksInstall.bat

לרוע המזל, לא הצלחנו להשיג אף אחד מקבצי האצווה הללו. עם זאת, אנו מאמינים שהם כותבים קבצי תצורה לא מזיקים לדיסק, שהדלת האחורית של החסות דורשת כדי לתפקד באופן מלא. שמות קבצי התצורה הללו נלקחו מהדלתות האחוריות של החסות אך מעולם לא נאספו:

• config.txt
• node.txt
• error.txt
• Uninstall.bat

אנו מאמינים שקבצי האצווה וקבצי התצורה הם חלק מתהליך הפיתוח המודולרי ש-Ballistic Bobcat העדיף במהלך השנים האחרונות.

נותן חסות לדלת אחורית

דלתות אחוריות של חסות נכתבות ב-C++ עם חותמות זמן הידור ונתיבי מסד נתונים של תוכניות (PDB) כפי שמוצג ב-  REF _Ref112861527 h טבלתי 3
. הערה על מספרי גרסאות: העמודה גִרְסָה מייצג את הגרסה שאנו עוקבים אחריה באופן פנימי בהתבסס על ההתקדמות הליניארית של דלתות אחוריות של חסות שבהן מתבצעים שינויים מגרסה אחת לאחרת. ה גרסה פנימית העמודה מכילה את מספרי הגרסאות שנצפו בכל דלת אחורית של נותן חסות, והם כלולים לצורך השוואה קלה בעת בחינת דוגמאות אלו ואחרות פוטנציאליות של נותן חסות.

טבלתי 3. חותמות זמן של אוסף חסות ו-PDB

גִרְסָה	גרסה פנימית	חותמת זמן הידור	PDB
1	1.0.0	2021-08-29 09:12:51	D:TempBD_Plus_SrvcReleaseBD_Plus_Srvc.pdb
2	1.0.0	2021-10-09 12:39:15	D:TempSponsorReleaseSponsor.pdb
3	1.4.0	2021-11-24 11:51:55	D:TempSponsorReleaseSponsor.pdb
4	2.1.1	2022-02-19 13:12:07	D:TempSponsorReleaseSponsor.pdb
5	1.2.3.0	2022-06-19 14:14:13	D:TempAluminaReleaseAlumina.pdb

הביצוע הראשוני של Sponsor דורש את ארגומנט זמן הריצה להתקין, שבלעדיו נותן החסות יוצא בחן, כנראה טכניקת אנטי-אמולציה/אנטי-ארגז חול פשוטה. אם הטיעון הזה עובר, נותן החסות יוצר שירות שנקרא רשת מערכת (ב v1) ו עדכון (בכל שאר הגרסאות). זה קובע את השירות סוג ההפעלה ל מכני עם סלילה אוטומטית, ומגדיר אותו להפעיל תהליך חסות משלו, ומעניק לו גישה מלאה. לאחר מכן הוא מתחיל את השירות.

נותן החסות, שפועל כעת כשירות, מנסה לפתוח את קובצי התצורה שהוזכרו לעיל שהוצבו בעבר בדיסק. זה מחפש config.txt ו node.txt, שניהם בספריית העבודה הנוכחית. אם הראשון חסר, נותן החסות מגדיר את השירות ל עצר ויוצא בחן.

תצורת דלת אחורית

תצורת נותן החסות, מאוחסנת ב config.txt, מכיל שני שדות:

• מרווח עדכון, בשניות, ליצירת קשר מעת לעת עם שרת C&C לקבלת פקודות.
• רשימה של שרתי C&C, המכונה ממסרים בקבצים הבינאריים של נותן החסות.

שרתי C&C מאוחסנים מוצפנים (RC4), ומפתח הפענוח קיים בשורה הראשונה של config.txt. לכל אחד מהשדות, כולל מפתח הפענוח, יש את הפורמט המוצג ב  REF _Ref142647636 h תרשים 3
.

תת שדות אלה הם:

• config_start: מציין את האורך של config_name, אם קיים, או אפס, אם לא. משמש את הדלת האחורית כדי לדעת היכן config_data מתחיל.
• config_len: אורך של config_data.
• config_name: אופציונלי, מכיל שם שניתן לשדה התצורה.
• config_data: התצורה עצמה, מוצפנת (במקרה של שרתי C&C) או לא (כל שאר השדות).

 REF _Ref142648473 h תרשים 4
מראה דוגמה עם תוכן מקודד צבע של אפשרות config.txt קוֹבֶץ. שימו לב שזה לא קובץ ממשי שצפינו בו, אלא דוגמה מפוברקת.

שני השדות האחרונים ב config.txt מוצפנים עם RC4, תוך שימוש בייצוג המחרוזת של ה-hash SHA-256 של מפתח הפענוח שצוין, כמפתח להצפנת הנתונים. אנו רואים שהבתים המוצפנים מאוחסנים בקידוד hex כטקסט ASCII.

איסוף מידע מארח

נותן החסות אוסף מידע על המארח עליו הוא פועל, מדווח על כל המידע שנאסף לשרת C&C ומקבל מזהה צומת, שנכתב ל node.txt.  REF _Ref142653641 h טבלתי 4
REF _Ref112861575 h
 מפרט מפתחות וערכים ברישום של Windows שספונסר משתמש בו כדי לקבל את המידע, ומספק דוגמה לנתונים שנאספו.

טבלה 4. מידע שנאסף על ידי נותן החסות

מפתח הרישום	ערך	דוגמה
HKEY_LOCAL_MACHINESYSTEM CurrentControlSetServicesTcpipParameters	שם מארח	D-835MK12
HKEY_LOCAL_MACHINESYSTEM CurrentControlSetControlTimeZoneInformation	TimeZoneKeyName	שעון תקן ישראלי
HKEY_USERS.DEFAULT לוח הבקרה הבינלאומי	שם מקום	הוא-IL
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTION מערכתBIOS	מוצר BaseBoard	10NX0010IL
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessor	ProcessorNameString	Intel(R) Core(TM) i7-8565U CPU @ 1.80GHz
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion	שם מוצר	Windows 10 Enterprise N
	CurrentVersion	6.3
	CurrentBuildNumber	19044
	InstallationType	לקוח

נותנת החסות אוספת גם את דומיין ה-Windows של המארח באמצעות הרשימה הבאה WMIC פקודה:

wmic computersystem קבל דומיין

לבסוף, נותן החסות משתמש בממשקי API של Windows כדי לאסוף את שם המשתמש הנוכחי (GetUserNameW), לקבוע אם תהליך החסות הנוכחי פועל כיישום של 32 או 64 סיביות (GetCurrentProcess, לאחר מכן IsWow64Process(CurrentProcess)), וקובע אם המערכת פועלת על סוללה או מחוברת למקור מתח AC או DC (GetSystemPowerStatus).

מוזרות אחת לגבי בדיקת האפליקציה של 32 או 64 סיביות היא שכל הדגימות שנצפו של חסות היו 32 סיביות. פירוש הדבר עשוי להיות שחלק מהכלים בשלב הבא דורשים מידע זה.

המידע שנאסף נשלח בהודעה מקודדת base64 שלפני הקידוד מתחילה בה r ויש לו את הפורמט המוצג ב  REF _Ref142655224 h תרשים 5
.

המידע מוצפן באמצעות RC4, ומפתח ההצפנה הוא מספר אקראי שנוצר במקום. המפתח עובר גיבוב עם אלגוריתם MD5, לא SHA-256 כפי שהוזכר קודם לכן. זה המקרה עבור כל התקשורת שבה נותן החסות צריך לשלוח נתונים מוצפנים.

שרת C&C משיב עם מספר המשמש לזיהוי המחשב הנפגע בתקשורת מאוחרת יותר, שנכתב אל node.txt. שים לב ששרת C&C נבחר באקראי מהרשימה כאשר r ההודעה נשלחת, ואותו שרת משמש בכל התקשורת העוקבת.

לולאת עיבוד פקודות

נותן החסות מבקש פקודות בלולאה, שינה לפי המרווח שהוגדר ב config.txt. השלבים הם:

1. תשלח chk=מבחן הודעה שוב ושוב, עד ששרת C&C עונה Ok.
2. תשלח c (IS_CMD_AVAIL) הודעה לשרת C&C וקבלת פקודת מפעיל.
3. עבד את הפקודה.
   • אם יש פלט שיישלח לשרת C&C, שלח a (ACK) הודעה, כולל הפלט (מוצפן), או
   • אם הביצוע נכשל, שלח f (נכשל) הודעה. הודעת השגיאה לא נשלחת.
4. לישון.

השמיים c ההודעה נשלחת כדי לבקש פקודה לביצוע, והיא בעלת הפורמט (לפני קידוד base64) המוצג ב  REF _Ref142658017 h תרשים 6
.

השמיים מוצפן_אין השדה באיור הוא תוצאה של הצפנת המחרוזת המקודדת ללא חתימה עם RC4. המפתח להצפנה הוא ה-hash MD5 של node_id.

כתובת האתר המשמשת ליצירת קשר עם שרת C&C בנויה כך: http://<IP_or_domain>:80. זה עשוי להעיד על כך 37.120.222[.]168:80 הוא שרת ה-C&C היחיד בשימוש במהלך מסע הפרסום של Sponsoring Access, מכיוון שזו הייתה כתובת ה-IP היחידה שראינו שמכונות קורבן מגיעות אליה ביציאה 80.

פקודות מפעיל

פקודות מפעיל מסומנות ב  REF _Ref112861551 h טבלתי 5
ומופיעים בסדר שבו הם נמצאים בקוד. תקשורת עם שרת C&C מתרחשת דרך יציאה 80.

טבלה 5. פקודות מפעיל ותיאורים

פיקוד	תיאור
p	שולח את מזהה התהליך עבור תהליך החסות הפועל.
e	מבצע פקודה, כפי שצוין בארגומנט נוסף עוקב, במארח החסות באמצעות המחרוזת הבאה: c:windowssystem32cmd.exe /c    > result.txt 2>&1 התוצאות מאוחסנות ב result.txt בספריית העבודה הנוכחית. שולחת a הודעה עם הפלט המוצפן לשרת C&C אם בוצעה בהצלחה. אם נכשל, שולח an f הודעה (ללא ציון השגיאה).
d	מקבל קובץ משרת C&C ומבצע אותו. לפקודה זו יש ארגומנטים רבים: שם קובץ היעד שאליו יש לכתוב את הקובץ, ה-hash MD5 של הקובץ, ספרייה לכתיבת הקובץ (או ספריית העבודה הנוכחית, כברירת מחדל), בוליאנית כדי לציין אם להפעיל את הקובץ או לא, והתוכן של קובץ ההפעלה, מקודד base64. אם לא מתרחשות שגיאות, א a ההודעה נשלחת לשרת C&C עם העלה והפעל את הקובץ בהצלחה or העלה קובץ בהצלחה ללא ביצוע (מוצפן). אם מתרחשות שגיאות במהלך ביצוע הקובץ, א f נשלחת הודעה. אם ה-hash MD5 של תוכן הקובץ אינו תואם ל-hash שסופק, an e (CRC_ERROR) ההודעה נשלחת לשרת C&C (כולל רק מפתח ההצפנה שבו נעשה שימוש, וללא מידע אחר). השימוש במונח העלה כאן זה עלול לבלבל מכיוון שהמפעילים והמקודדים של בובקט בליסטי לוקחים את נקודת המבט מצד השרת, בעוד שרבים עשויים לראות זאת כהורדה המבוססת על משיכת הקובץ (כלומר הורדת אותו) על ידי המערכת באמצעות דלת החסות האחורית.
u	ניסיונות להוריד קובץ באמצעות URLDownloadFileW Windows API והפעל אותו. הצלחה שולחת א a הודעה עם מפתח ההצפנה בשימוש, וללא מידע אחר. כישלון שולח א f הודעה עם מבנה דומה.
s	מבצע קובץ שכבר נמצא בדיסק, Uninstall.bat בספריית העבודה הנוכחית, שככל הנראה מכילה פקודות למחיקת קבצים הקשורים לדלת האחורית.
n	פקודה זו יכולה להיות מסופקת במפורש על ידי מפעיל או שניתן להסיק על ידי ספונסר כפקודה לביצוע בהיעדר פקודה אחרת. הכוונה בתוך חסות כ NO_CMD, הוא מבצע שינה אקראית לפני ביצוע צ'ק-אין חוזר עם שרת C&C.
b	מעדכן את רשימת ה-C&Cs המאוחסנים ב config.txt בספריית העבודה הנוכחית. כתובות C&C החדשות מחליפות את הקודמות; הם לא מתווספים לרשימה. זה שולח א a הודעה עם ממסרים חדשים הוחלפו בהצלחה (מוצפן) לשרת C&C אם עודכן בהצלחה.
i	מעדכן את מרווח הצ'ק-אין שנקבע מראש שצוין ב config.txt. זה שולח א a הודעה עם מרווח חדש הוחלף בהצלחה לשרת C&C אם עודכן בהצלחה.

עדכונים לנותן חסות

קודני Bobcat בליסטיים ביצעו תיקוני קוד בין Sponsor v1 ו-v2. שני השינויים המשמעותיים ביותר באחרון הם:

• אופטימיזציה של קוד כאשר מספר פונקציות ארוכות יותר צומצמו לפונקציות ותת-פונקציות, ו
• הסוואת החסות כתוכנית עדכון על ידי הכללת ההודעה הבאה בתצורת השירות:

עדכוני אפליקציה נהדרים הן למשתמשי האפליקציה והן לאפליקציות - עדכונים פירושם שמפתחים עובדים תמיד על שיפור האפליקציה, תוך התחשבות בחוויית לקוח טובה יותר עם כל עדכון.

תשתית רשת

בנוסף לחזרה על התשתית C&C המשמשת בקמפיין PowerLess, Ballistic Bobcat הציגה גם שרת C&C חדש. הקבוצה גם השתמשה במספר כתובות IP כדי לאחסן ולספק כלי תמיכה במהלך מסע הפרסום של גישה חסות. אישרנו שאף אחת מכתובות ה-IP הללו לא פועלות בשלב זה.

סיכום

בובקט בליסטי ממשיך לפעול על פי מודל סריקה וניצול, ומחפש יעדי הזדמנויות עם פגיעויות לא מתוקנות בשרתי Microsoft Exchange החשופים לאינטרנט. הקבוצה ממשיכה להשתמש בערכת כלים מגוונת בקוד פתוח בתוספת מספר יישומים מותאמים אישית, כולל דלת החסות האחורית שלה. למגינים יהיה מומלץ לתקן כל מכשיר החשוף לאינטרנט ולהישאר ערניים ליישומים חדשים שצצים בארגונים שלהם.

לכל שאלה לגבי המחקר שלנו שפורסם ב-WeLiveSecurity, אנא צור איתנו קשר בכתובת threatintel@eset.com.
ESET Research מציע דוחות מודיעין פרטיים של APT והזנות נתונים. לכל שאלה לגבי שירות זה, בקר באתר ESET Threat Intelligence עמוד.

IoCs

קבצים

SHA-1	שם הקובץ	איתור	תיאור
098B9A6CE722311553E1D8AC5849BA1DC5834C52	N / A	Win32/Agent.UXG	דלת אחורית בובקט בליסטי, חסות (v1).
5AEE3C957056A8640041ABC108D0B8A3D7A02EBD	N / A	Win32/Agent.UXG	דלת אחורית בובקט בליסטי, חסות (v2).
764EB6CA3752576C182FC19CFF3E86C38DD51475	N / A	Win32/Agent.UXG	דלת אחורית בובקט בליסטי, חסות (v3).
2F3EDA9D788A35F4C467B63860E73C3B010529CC	N / A	Win32/Agent.UXG	דלת אחורית בובקט בליסטי, חסות (v4).
E443DC53284537513C00818392E569C79328F56F	N / A	Win32/Agent.UXG	דלת אחורית של בובקט בליסטי, נותנת חסות (v5, aka אלומינה).
C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61	N / A	WinGo/Agent.BT	מנהרה הפוכה של RevSocks.
39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6	N / A	לְנַקוֹת	ProcDump, כלי שורת פקודה לניטור יישומים ויצירת dump dump של התרסקות.
A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A	N / A	Generik.EYWYQYF	מימיקץ.
5D60C8507AC9B840A13FFDF19E3315A3E14DE66A	N / A	WinGo/Riskware.Gost.D	GO Simple Tunnel (GOST).
50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617	N / A	WinGo/HackTool.Chisel.A	מנהרה הפוכה של אזמל.
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252	N / A	N / A	כלי גילוי Host2IP.
519CA93366F1B1D71052C6CE140F5C80CE885181	N / A	Win64/Packed.Enigma.BV	מנהרת RevSocks, מוגנת בגרסת הניסיון של הגנת תוכנת Enigma Protector.
4709827C7A95012AB970BF651ED5183083366C79	N / A	N / A	Plink (PuTTY Link), כלי לחיבור שורת פקודה.
99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8	N / A	Win32/PSWTool.WebBrowserPassView.I	כלי לשחזור סיסמאות עבור סיסמאות המאוחסנות בדפדפני אינטרנט.
E52AA118A59502790A4DD6625854BD93C0DEAF27	N / A	MSIL/HackTool.SQLDump.A	כלי לאינטראקציה עם וחילוץ נתונים מבסיסי נתונים של SQL.

 

נתיבי קבצים

להלן רשימה של נתיבים שבהם הדלת האחורית של החסות נפרסה על מכונות שנפגעו.

%SYSTEMDRIVE%inetpubwwwrotaspnet_client

%USERPROFILE%AppDataLocalTempfile

%USERPROFILE%AppDataLocalTemp2low

%USERPROFILE%שולחן עבודה

%USERPROFILE%הורדסה

%WINDIR%

%WINDIR%INFMSExchange DSN למסירה

%WINDIR%משימות

%WINDIR%Temp%WINDIR%Tempcrashpad1Files

רשת

IP	ספק	נראה לראשונה	ראה לאחרונה	פרטים
162.55.137[.]20	Hetzner Online GMBH	2021-06-14	2021-06-15	PowerLess C&C.
37.120.222[.]168	M247 בע"מ	2021-11-28	2021-12-12	נותן חסות ל-C&C.
198.144.189[.]74	קולוקרוס	2021-11-29	2021-11-29	אתר הורדת כלי תמיכה.
5.255.97[.]172	קבוצת התשתיות BV	2021-09-05	2021-10-28	אתר הורדת כלי תמיכה.

שולחן זה נבנה באמצעות גרסה 13 של מסגרת MITER ATT & CK.

טקטיקה	ID	שם	תיאור
סִיוּר	T1595	סריקה פעילה: סריקת פגיעות	Ballistic Bobcat סורק אחר גרסאות פגיעות של שרתי Microsoft Exchange כדי לנצל.
פיתוח משאבים	T1587.001	פיתוח יכולות: תוכנות זדוניות	בובקט בליסטי עיצב וקודד את דלת החסות האחורית.
	T1588.002	להשיג יכולות: כלי	Ballistic Bobcat משתמש בכלי קוד פתוח שונים כחלק ממסע הפרסום של Sponsoring Access.
גישה ראשונית	T1190	שימוש באפליקציה הפונה לציבור	בובקט בליסטי מכוון חשוף לאינטרנט  שרתי Microsoft Exchange.
הוצאה לפועל	T1059.003	מתורגמן פקודות ותסריטים: מעטפת הפקודות של Windows	דלת החסות האחורית משתמשת במעטפת הפקודות של Windows כדי לבצע פקודות במערכת של הקורבן.
	T1569.002	שירותי מערכת: ביצוע שירות	דלת החסות מגדירה את עצמה כשירות ומתחילה את הפונקציות העיקריות שלה לאחר ביצוע השירות.
התמדה	T1543.003	צור או שנה תהליך מערכת: שירות Windows	נותן החסות שומר על התמדה על ידי יצירת שירות עם הפעלה אוטומטית שמבצע את הפונקציות העיקריות שלו בלולאה.
הסלמת פריבילגיות	T1078.003	חשבונות תקפים: חשבונות מקומיים	מפעילי בובקט בליסטי מנסים לגנוב אישורים של משתמשים חוקיים לאחר ניצול תחילה של מערכת לפני פריסת הדלת האחורית של החסות.
התחמקות הגנה	T1140	בטל/פענח קבצים או מידע	נותנת החסות מאחסנת מידע על דיסק מוצפן ומעורפל, ומבטלת אותו בזמן ריצה.
	T1027	קבצים או מידע מעורפלים	קובצי תצורה שהדלת האחורית של נותן החסות דורשת בדיסק מוצפנים ומעורפלים.
	T1078.003	חשבונות תקפים: חשבונות מקומיים	נותן החסות מבוצע עם הרשאות אדמין, ככל הנראה באמצעות אישורים שהמפעילים מצאו בדיסק; יחד עם מוסכמות השמות התמימות של Ballistic Bobcat, זה מאפשר לספונסר להשתלב ברקע.
גישה לאישור	T1555.003	אישורים מחנויות סיסמאות: אישורים מדפדפני אינטרנט	מפעילי בובקט בליסטיים משתמשים בכלי קוד פתוח כדי לגנוב אישורים מחנויות סיסמאות בדפדפני אינטרנט.
גילוי פערים	T1018	גילוי מערכת מרחוק	Ballistic Bobcat משתמש בכלי Host2IP, בשימוש בעבר על ידי Agrius, כדי לגלות מערכות אחרות בתוך רשתות נגישות ולקשר בין שמות המארחים וכתובות ה-IP שלהן.
פיקוד ובקרה	T1001	ערפול נתונים	הדלת האחורית של נותן החסות מערפלת נתונים לפני שליחתם לשרת C&C.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. רכב / רכבים חשמליים, פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• ChartPrime. הרם את משחק המסחר שלך עם ChartPrime. גישה כאן.
• BlockOffsets. מודרניזציה של בעלות על קיזוז סביבתי. גישה כאן.
• מקור: https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/