배치 파일 수염을 사용한 스폰서: Ballistic Bobcat의 스캔 및 공격 백도어

ESET 연구원들은 Sponsor라는 새로운 백도어를 사용하여 브라질, 이스라엘, 아랍에미리트의 다양한 단체를 표적으로 삼는 Ballistic Bobcat 캠페인을 발견했습니다.

우리는 2022년 XNUMX월 이스라엘의 피해자 시스템에서 발견한 흥미로운 샘플을 분석하고 국가별로 피해자 범위를 조사한 후 후원자를 발견했습니다. 조사 결과, 해당 샘플은 Ballistic Bobcat APT 그룹이 배포한 새로운 백도어라는 것이 분명해졌습니다.

이전에 ESET Research에서 APT35/APT42(별명 Charming Kitten, TA453 또는 PHOSPHORUS)로 추적한 Ballistic Bobcat이 의심되는 대상입니다. 이란이 지원하는 지능형 지속 위협 그룹 교육, 정부, 의료 기관은 물론 인권 운동가와 언론인을 대상으로 합니다. 이스라엘, 중동, 미국에서 가장 활발하게 활동하고 있습니다. 특히 팬데믹 기간 동안 세계보건기구(WHO), 길리어드 파마슈티컬스(Gilead Pharmaceuticals) 등 코로나19 관련 기관과 의학 연구 인력을 표적으로 삼았다.

Ballistic Bobcat 캠페인 간 중복 스폰서 백도어 버전은 각각 기간이 제한된 좁은 대상 캠페인을 통해 상당히 명확한 도구 개발 및 배포 패턴을 보여줍니다. 이후 우리는 Sponsor 백도어의 다른 버전 34개를 발견했습니다. 전체적으로 스폰서가 브라질, 이스라엘, 아랍 에미리트 연합에서 최소 XNUMX명의 피해자에게 배포된 것을 확인했습니다.  REF _Ref143075975h 그림 1
.

이 블로그 포스트의 요점:

• 우리는 Ballistic Bobcat이 배포한 새로운 백도어를 발견했으며 이후에 Sponsor라는 이름을 붙였습니다.
• Ballistic Bobcat은 CISA Alert AA2021-21A 및 PowerLess 캠페인에 문서화된 캠페인을 마무리하는 동안 321년 XNUMX월에 새로운 백도어를 배포했습니다.
• 스폰서 백도어는 디스크에 저장된 구성 파일을 사용합니다. 이러한 파일은 배치 파일에 의해 은밀하게 배포되고 의도적으로 무해한 것처럼 보이도록 설계되어 검색 엔진의 탐지를 회피하려고 시도합니다.
• 후원자는 브라질, 이스라엘, 아랍에미리트에서 최소 34명의 피해자에게 배포되었습니다. 우리는 이 활동을 후원 액세스 캠페인이라고 명명했습니다.

초기 액세스

Ballistic Bobcat은 먼저 잠재적인 약점이나 취약점을 식별하기 위해 시스템이나 네트워크를 꼼꼼하게 검사한 다음, 식별된 약점을 표적으로 삼아 악용함으로써 인터넷에 노출된 Microsoft Exchange 서버의 알려진 취약점을 악용하여 초기 액세스 권한을 얻었습니다. 이 그룹은 한동안 이러한 행동을 하는 것으로 알려져 있습니다. 그러나 ESET 원격 측정에서 확인된 34명의 피해자 중 다수는 사전 선택 및 연구된 피해자라기보다는 기회의 피해자로 가장 잘 설명될 수 있습니다. Ballistic Bobcat이 위에서 설명한 검색 및 악용 행위에 관여한 것으로 의심되기 때문입니다. 이것이 유일한 위협이 아니었기 때문입니다. 이러한 시스템에 접근할 수 있는 행위자. 우리는 스폰서 백도어를 활용하는 이 Ballistic Bobcat 활동을 Sponsoring Access 캠페인이라고 명명했습니다.

스폰서 백도어는 배치 파일에 의해 삭제된 디스크의 구성 파일을 사용하며 둘 다 스캐닝 엔진을 우회할 정도로 무해합니다. 이 모듈식 접근 방식은 Ballistic Bobcat이 지난 XNUMX년 반 동안 꽤 자주 사용해 왔으며 어느 정도 성공을 거두었습니다. 또한 손상된 시스템에서 Ballistic Bobcat은 이 블로그 게시물에서 Sponsor 백도어와 함께 설명하는 다양한 오픈 소스 도구를 계속 사용합니다.

피해자학

34명의 피해자 중 상당수가 이스라엘에 있었고, 다른 국가에는 단 XNUMX명만이 있었습니다.

• 브라질의 의료협동조합 및 건강보험 운영업체
• 아랍에미리트, 정체불명의 조직.

 REF _Ref112861418h 작업대 1
이스라엘 피해자의 업종과 조직 세부정보를 설명합니다.

작업대  SEQ 테이블 * 아랍어 1. 이스라엘 피해자의 업종 및 조직 세부정보

수직선	세부 정보
자동차	·       맞춤형 개조를 전문으로 하는 자동차 회사입니다. ·       자동차 수리 및 유지보수 회사입니다.
커뮤니케이션	·       이스라엘 언론 매체.
엔지니어링	·       토목공학 회사입니다. ·       환경엔지니어링 회사입니다. ·       건축 디자인 회사입니다.
금융 서비스	·       투자 상담을 전문으로 하는 금융 서비스 회사입니다. ·       로열티를 관리하는 회사입니다.
의료	·       의료 제공자.
보험	·       보험시장을 운영하는 보험회사입니다. ·       상업 보험 회사입니다.
법	·       의료법 전문회사입니다.
제조	·       여러 전자제품 제조 회사. ·       금속을 기반으로 한 상업용 제품을 제조하는 회사입니다. ·       다국적 기술 제조 회사입니다.
소매	·       식품 소매업체입니다. ·       다국적 다이아몬드 소매업체입니다. ·       스킨케어 제품 판매점입니다. ·       창문 처리 소매업체 및 설치업체입니다. ·       글로벌 전자부품 공급업체입니다. ·       물리적 액세스 제어 공급업체.
Technology	·       IT 서비스 기술 회사입니다. ·       IT 솔루션 제공업체입니다.
통신	·       통신 회사입니다.
불확실한	·       식별되지 않은 여러 조직.

속성

2021년 XNUMX월, 보험 시장을 운영하는 위의 이스라엘 피해자는 도구를 사용하여 Ballistic Bobcat의 공격을 받았습니다. CISA는 2021년 XNUMX월에 보고했습니다.. 우리가 관찰한 침해 지표는 다음과 같습니다.

• MicrosoftOutlook업데이트 일정,
• MicrosoftOutlookUpdateSchedule.xml,
• GoogleChangeManagement및
• GoogleChangeManagement.xml.

Ballistic Bobcat 도구는 CISA 보고서와 동일한 명령 및 제어(C&C) 서버와 통신했습니다. 162.55.137[.]20.

그러다가 2021년 XNUMX월에 동일한 피해자가 차세대 Ballistic Bobcat 도구를 받았습니다. PowerLess 백도어 그리고 그 지원 도구 세트. 우리가 관찰한 침해 지표는 다음과 같습니다.

• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/dll.dll,
• windowsprocesses.exe및
• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/windowsprocesses.exe.

11 월 18^th, 2021년에 그룹은 또 다른 도구(Plink) CISA 보고서에서 다뤘던 내용은 다음과 같습니다. MicrosoftOutLookUpdater.exe. 열흘 뒤인 28월 XNUMX일^th, 2021년, Ballistic Bobcat이 배치 멀린 요원 (에이전트 부분 Go로 작성된 오픈 소스 공격 후 C&C 서버 및 에이전트). 디스크에서 이 Merlin 에이전트의 이름은 다음과 같습니다. googleUpdate.exe, CISA 보고서에 설명된 것과 동일한 명명 규칙을 사용하여 눈에 잘 띄지 않게 숨깁니다.

Merlin 에이전트는 새로운 C&C 서버를 다시 호출하는 Meterpreter 리버스 셸을 실행했습니다. 37.120.222[.]168:80. 12월 XNUMX일^th, 2021, 리버스 쉘이 배치 파일을 삭제했습니다. install.bat를, 배치 파일을 실행한 지 몇 분 안에 Ballistic Bobcat 운영자는 최신 백도어인 Sponsor를 푸시했습니다. 이는 백도어의 세 번째 버전으로 밝혀졌습니다.

기술적 분석

초기 액세스

우리는 ESET 원격 측정에서 관찰한 피해자 23명 중 34명의 초기 접근 수단을 식별할 수 있었습니다. 에 보고된 내용과 유사합니다. 파워리스 및 CISA 보고서에 따르면 Ballistic Bobcat은 아마도 알려진 취약점을 악용했을 가능성이 있습니다. CVE-2021-26855, Microsoft Exchange 서버에서 이러한 시스템에 대한 발판을 마련합니다.

피해자 16명 중 34명의 경우 Ballistic Bobcat이 시스템에 접근할 수 있는 유일한 위협 행위자가 아닌 것으로 나타났습니다. 이는 다양한 피해자와 일부 피해자의 명백한 정보 가치가 부족하다는 사실과 함께 Ballistic Bobcat이 미리 선택된 피해자를 대상으로 한 표적 캠페인이 아닌 스캔 및 악용 행위에 가담했음을 나타낼 수 있습니다.

툴셋

오픈 소스 도구

Ballistic Bobcat은 Sponsoring Access 캠페인 중에 다양한 오픈 소스 도구를 사용했습니다. 해당 도구와 해당 기능은 다음에 나열되어 있습니다.  REF _Ref112861458h 작업대 2
.

작업대  SEQ 테이블 * 아랍어 2. Ballistic Bobcat에서 사용하는 오픈 소스 도구

파일 이름	상품 설명
호스트2ip.exe	지도 호스트 이름을 IP 주소로 로컬 네트워크 내에서.
CSRSS.EXE	RevSocks, 역방향 터널 애플리케이션.
mi.exe	원래 파일 이름은 Mimikatz입니다. midongle.exe 그리고 포장 아르마딜로 PE 패커.
고스트.exe	GO 단순 터널(GOST), Go로 작성된 터널링 애플리케이션입니다.
끌.exe	정, SSH 레이어를 사용하는 HTTP를 통한 TCP/UDP 터널입니다.
csrss_protected.exe	평가판 버전으로 보호되는 RevSocks 터널 Enigma Protector 소프트웨어 보호.
plink.exe	Plink (PuTTY Link), 명령줄 연결 도구입니다.
WebBrowserPassView.exe	A 비밀번호 복구 도구 웹 브라우저에 저장된 비밀번호의 경우.
sqlextractor.exe	A 수단 SQL 데이터베이스와 상호 작용하고 SQL 데이터베이스에서 데이터를 추출합니다.
procdump64.exe	ProcDump은  애플리케이션 모니터링 및 크래시 덤프 생성을 위한 Sysinternals 명령줄 유틸리티입니다.

배치 파일

Ballistic Bobcat은 Sponsor 백도어를 배포하기 직전에 피해자의 시스템에 배치 파일을 배포했습니다. 우리가 알고 있는 파일 경로는 다음과 같습니다:

• C:inetpubwwwrootaspnet_clientInstall.bat
• %USERPROFILE%DesktopInstall.bat
• %WINDOWS%TasksInstall.bat

안타깝게도 이러한 배치 파일을 얻을 수 없습니다. 그러나 우리는 그들이 스폰서 백도어가 완전히 작동하는 데 필요한 무해한 구성 파일을 디스크에 기록한다고 믿습니다. 이러한 구성 파일 이름은 스폰서 백도어에서 가져왔지만 수집되지 않았습니다.

• 구성.txt
• 노드.txt
• 오류.txt
• Uninstall.bat

우리는 배치 파일과 구성 파일이 Ballistic Bobcat이 지난 몇 년 동안 선호했던 모듈식 개발 프로세스의 일부라고 믿습니다.

스폰서 백도어

스폰서 백도어는 다음과 같이 컴파일 타임스탬프 및 프로그램 데이터베이스(PDB) 경로와 함께 C++로 작성됩니다.  REF _Ref112861527h 작업대 3
. 버전 번호에 대한 참고 사항: 열 버전 한 버전에서 다음 버전으로 변경되는 스폰서 백도어의 선형 진행을 기반으로 내부적으로 추적하는 버전을 나타냅니다. 그만큼 내부 버전 열에는 각 스폰서 백도어에서 관찰된 버전 번호가 포함되어 있으며 이러한 백도어와 기타 잠재적 스폰서 샘플을 검사할 때 쉽게 비교할 수 있도록 포함되어 있습니다.

작업대 3. 컴파일 타임스탬프 및 PDB 후원

버전	내부 버전	컴파일 타임스탬프	PDB
1	1.0.0	2021-08-29 09:12:51	D:TempBD_Plus_SrvcReleaseBD_Plus_Srvc.pdb
2	1.0.0	2021-10-09 12:39:15	D:TempSponsorReleaseSponsor.pdb
3	1.4.0	2021-11-24 11:51:55	D:TempSponsorReleaseSponsor.pdb
4	2.1.1	2022-02-19 13:12:07	D:TempSponsorReleaseSponsor.pdb
5	1.2.3.0	2022-06-19 14:14:13	D:온도알루미나릴리스알루미나.pdb

Sponsor의 초기 실행에는 런타임 인수가 필요합니다. 설치, 스폰서가 정상적으로 종료되지 않으면 단순한 안티 에뮬레이션/안티 샌드박스 기술일 가능성이 높습니다. 해당 인수가 전달되면 Sponsor는 다음과 같은 서비스를 생성합니다. 시스템네트워크 (의 v1) and 업데이트 (다른 모든 버전에서). 이는 서비스의 시작 유형 에 Automatic, 자체 스폰서 프로세스를 실행하도록 설정하고 전체 액세스 권한을 부여합니다. 그런 다음 서비스를 시작합니다.

이제 서비스로 실행 중인 스폰서는 이전에 디스크에 배치된 앞서 언급한 구성 파일을 열려고 시도합니다. 찾는다 구성.txt 및 노드.txt, 둘 다 현재 작업 디렉토리에 있습니다. 첫 번째 항목이 누락된 경우 스폰서는 서비스를 다음으로 설정합니다. 중단 그리고 우아하게 종료됩니다.

백도어 구성

스폰서의 구성(다음 위치에 저장됨) 구성.txt에는 두 개의 필드가 포함되어 있습니다.

• 명령을 위해 C&C 서버에 주기적으로 접속하는 업데이트 간격(초)입니다.
• C&C 서버 목록은 다음과 같습니다. 릴레이 스폰서의 바이너리에 있습니다.

C&C 서버는 암호화되어(RC4) 저장되며, 복호화 키는 첫 번째 줄에 있습니다. 구성.txt. 암호 해독 키를 포함한 각 필드의 형식은 다음과 같습니다.  REF _Ref142647636h 그림 3
.

이러한 하위 필드는 다음과 같습니다.

• 구성_시작: 의 길이를 나타냅니다. 구성_이름, 존재하는 경우, 존재하지 않는 경우 XNUMX입니다. 백도어에서 위치를 파악하는 데 사용됩니다. 구성_데이터 시작됩니다.
• 구성_len: 의 길이 구성_데이터.
• 구성_이름: 선택사항, 구성 필드에 지정된 이름을 포함합니다.
• 구성_데이터: 암호화되거나(C&C 서버의 경우) 암호화되지 않은(다른 모든 필드) 구성 자체입니다.

 REF _Ref142648473h 그림 4
가능한 내용을 색상으로 구분한 예를 보여줍니다. 구성.txt 파일. 이는 우리가 관찰한 실제 파일이 아니라 조작된 예입니다.

마지막 두 필드는 구성.txt 지정된 암호 해독 키의 SHA-4 해시 문자열 표현을 데이터 암호화 키로 사용하여 RC256로 암호화됩니다. 암호화된 바이트가 ASCII 텍스트로 XNUMX진수로 인코딩되어 저장되어 있음을 알 수 있습니다.

호스트 정보 수집

Sponsor는 실행 중인 호스트에 대한 정보를 수집하고, 수집된 모든 정보를 C&C 서버에 보고하고, 노드 ID를 받습니다. 노드.txt.  REF _Ref142653641h 작업대 4
REF _Ref112861575h
 스폰서가 정보를 얻기 위해 사용하는 Windows 레지스트리의 키와 값을 나열하고 수집된 데이터의 예를 제공합니다.

표 4. 스폰서가 수집한 정보

레지스트리 키	가치관	예
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters	호스트 이름	D-835MK12
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTimeZoneInformation	시간대 키 이름	이스라엘 표준시
HKEY_USERS.DEFAULT제어판국제	로케일 이름	그는-IL
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTION시스템BIOS	베이스보드제품	10NX0010IL
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessor	프로세서 이름 문자열	Intel(R) 코어(TM) i7-8565U CPU @ 1.80GHz
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion	상품명	Windows 10 엔터프라이즈 여성
	CurrentVersion	6.3
	현재 빌드 번호	19044
	설치 유형	Client

스폰서는 또한 다음을 사용하여 호스트의 Windows 도메인을 수집합니다. WMIC 명령:

wmic 컴퓨터 시스템 도메인 가져오기

마지막으로, Sponsor는 Windows API를 사용하여 현재 사용자 이름(GetUserNameW), 현재 스폰서 프로세스가 32비트 또는 64비트 애플리케이션으로 실행되고 있는지 확인합니다(GetCurrentProcess다음, IsWow64Process(현재 프로세스)) 시스템이 배터리 전원으로 실행되고 있는지 아니면 AC 또는 DC 전원에 연결되어 있는지 확인합니다(GetSystemPowerStatus).

32비트 또는 64비트 애플리케이션 검사와 관련된 한 가지 이상한 점은 관찰된 후원자 샘플이 모두 32비트라는 것입니다. 이는 다음 단계 도구 중 일부에 이 정보가 필요함을 의미할 수 있습니다.

수집된 정보는 인코딩하기 전에 다음으로 시작하는 base64로 인코딩된 메시지로 전송됩니다. r 다음과 같은 형식을 갖습니다.  REF _Ref142655224h 그림 5
.

정보는 RC4로 암호화되며, 암호화 키는 현장에서 생성되는 난수입니다. 키는 앞서 언급한 SHA-5이 아닌 MD256 알고리즘으로 해시됩니다. 이는 스폰서가 암호화된 데이터를 전송해야 하는 모든 통신에 해당됩니다.

C&C 서버는 이후 통신에서 피해를 입은 컴퓨터를 식별하는 데 사용되는 번호로 응답합니다. 노드.txt. C&C 서버는 목록에서 무작위로 선택됩니다. r 메시지가 전송되고 이후의 모든 통신에는 동일한 서버가 사용됩니다.

명령 처리 루프

스폰서는 루프에서 명령을 요청하고 정의된 간격에 따라 휴면 상태를 유지합니다. 구성.txt. 단계는 다음과 같습니다.

1. 보내 chk=테스트 C&C 서버가 응답할 때까지 메시지를 반복적으로 보냅니다. Ok.
2. 보내 c (IS_CMD_AVAIL) 메시지를 C&C 서버로 전송하고, 운영자 명령을 수신한다.
3. 명령을 처리합니다.
   • C&C 서버로 보낼 출력이 있으면 a (ACK) 출력(암호화)을 포함한 메시지, 또는
   • 실행이 실패한 경우 f (실패) 메시지. 오류 메시지가 전송되지 않습니다.
4. 자.

XNUMXD덴탈의 c 메시지는 실행할 명령을 요청하기 위해 전송되며 다음과 같은 형식(base64 인코딩 전)을 갖습니다.  REF _Ref142658017h 그림 6
.

XNUMXD덴탈의 암호화됨_없음 그림의 필드는 하드코딩된 문자열을 암호화한 결과입니다. 없음 RC4와 함께. 암호화 키는 MD5 해시입니다. 노드 아이디.

C&C 서버에 접속하는 데 사용되는 URL은 다음과 같이 구성됩니다. http://<IP_or_domain>:80. 이는 다음을 나타낼 수 있습니다. 37.120.222[.]168:80 이는 후원 액세스 캠페인 전체에서 사용된 유일한 C&C 서버입니다. 이는 피해자 컴퓨터가 포트 80에 접근하는 것을 관찰한 유일한 IP 주소였기 때문입니다.

운영자 명령

운영자 명령은 다음에 설명되어 있습니다.  REF _Ref112861551h 작업대 5
코드에서 발견된 순서대로 나타납니다. C&C 서버와의 통신은 포트 80을 통해 이루어집니다.

표 5. 운영자 명령 및 설명

명령	상품 설명
p	실행 중인 Sponsor 프로세스에 대한 프로세스 ID를 보냅니다.
e	다음 문자열을 사용하여 스폰서 호스트에서 후속 추가 인수에 지정된 대로 명령을 실행합니다. c:windowssystem32cmd.exe /c    > 결과.txt 2>&1 결과는 다음 위치에 저장됩니다. 결과.txt 현재 작업 디렉토리에 있습니다. 보낸다 a 성공적으로 실행되면 C&C 서버에 암호화된 출력과 함께 메시지가 전송됩니다. 실패하면 다음을 보냅니다. f 메시지(오류를 지정하지 않고).
d	C&C 서버로부터 파일을 받아 실행합니다. 이 명령에는 많은 인수가 있습니다. 파일을 쓸 대상 파일 이름, 파일의 MD5 해시, 파일을 쓸 디렉터리(또는 기본적으로 현재 작업 디렉터리), 파일을 실행할지 여부를 나타내는 부울 not 및 실행 파일의 내용은 base64로 인코딩됩니다. 오류가 발생하지 않으면 a 메시지는 다음과 같이 C&C 서버로 전송됩니다. 파일 업로드 및 실행 성공 or 실행하지 않고 파일을 성공적으로 업로드했습니다. (암호화됨) 파일 실행 중 오류가 발생하면 f 메시지가 전송됩니다. 파일 내용의 MD5 해시가 제공된 해시와 일치하지 않는 경우 e (CRC_ERROR) 메시지가 C&C 서버로 전송됩니다(사용된 암호화 키만 포함되고 다른 정보는 포함되지 않음). 용어의 사용 가이드라가 Ballistic Bobcat 운영자와 코더는 서버 측의 관점을 취하기 때문에 잠재적으로 혼란스러울 수 있지만, 많은 사람들은 이를 스폰서 백도어를 사용하는 시스템에서 파일을 가져오는(즉, 다운로드하는) 기반의 다운로드로 볼 수 있습니다.
u	다음을 사용하여 파일을 다운로드하려고 시도합니다. URL다운로드파일W Windows API를 실행하고 실행합니다. 성공하면 a 암호화 키가 사용된 메시지이며 다른 정보는 없습니다. 실패하면 f 비슷한 구조의 메시지입니다.
s	디스크에 이미 있는 파일을 실행합니다. Uninstall.bat 현재 작업 디렉터리에는 백도어와 관련된 파일을 삭제하는 명령이 포함될 가능성이 높습니다.
n	이 명령은 운영자에 의해 명시적으로 제공될 수 있거나 다른 명령이 없을 때 실행할 명령으로 Sponsor에 의해 유추될 수 있습니다. 후원자 내에서 다음과 같이 지칭됩니다. NO_CMD, C&C 서버에 다시 체크인하기 전에 무작위 절전 모드를 실행합니다.
b	저장된 C&C 목록을 업데이트합니다. 구성.txt 현재 작업 디렉토리에 있습니다. 새로운 C&C 주소는 이전 주소를 대체합니다. 목록에 추가되지 않습니다. 그것은 보낸다 a 메시지 새 릴레이가 성공적으로 교체되었습니다. (암호화되어) 업데이트에 성공하면 C&C 서버로 전송됩니다.
i	다음에 지정된 사전 결정된 체크인 간격을 업데이트합니다. 구성.txt. 그것은 보낸다 a 메시지 새 간격이 성공적으로 교체되었습니다. 성공적으로 업데이트되면 C&C 서버로.

스폰서 업데이트

Ballistic Bobcat 코더는 Sponsor v1과 v2 사이에 코드를 개정했습니다. 후자의 가장 중요한 두 가지 변경 사항은 다음과 같습니다.

• 여러 개의 긴 함수를 함수와 하위 함수로 최소화한 코드 최적화
• 서비스 구성에 다음 메시지를 포함하여 후원자를 업데이터 프로그램으로 위장합니다.

앱 업데이트는 앱 사용자와 앱 모두에게 좋습니다. 업데이트는 개발자가 업데이트할 때마다 더 나은 고객 경험을 염두에 두고 항상 앱 개선을 위해 노력하고 있음을 의미합니다.

네트워크 인프라

PowerLess 캠페인에 사용된 C&C 인프라에 편승하는 것 외에도 Ballistic Bobcat은 새로운 C&C 서버도 도입했습니다. 또한 그룹은 후원 액세스 캠페인 중에 지원 도구를 저장하고 제공하기 위해 여러 IP를 활용했습니다. 현재 해당 IP 중 어느 것도 운영되고 있지 않은 것으로 확인되었습니다.

결론

Ballistic Bobcat은 인터넷에 노출된 Microsoft Exchange 서버의 패치되지 않은 취약점이 있는 기회 대상을 계속해서 검색 및 악용 모델로 운영하고 있습니다. 이 그룹은 Sponsor 백도어를 포함하여 여러 맞춤형 애플리케이션으로 보완된 다양한 오픈 소스 도구 세트를 계속 사용하고 있습니다. 방어자는 인터넷에 노출된 모든 장치를 패치하고 조직 내에서 나타나는 새로운 애플리케이션에 대해 경계하는 것이 좋습니다.

WeLiveSecurity에 게시된 연구에 대한 문의 사항은 다음으로 문의하십시오. Threatintel@eset.com.
ESET Research는 비공개 APT 인텔리전스 보고서 및 데이터 피드를 제공합니다. 본 서비스에 대한 문의사항은 ESET 위협 인텔리전스 페이지.

IoC

파일

SHA-1	파일 이름	Detection System	상품 설명
098B9A6CE722311553E1D8AC5849BA1DC5834C52	해당 사항 없음	Win32/Agent.UXG	Ballistic Bobcat 백도어, 스폰서(v1).
5AEE3C957056A8640041ABC108D0B8A3D7A02EBD	해당 사항 없음	Win32/Agent.UXG	Ballistic Bobcat 백도어, 스폰서(v2).
764EB6CA3752576C182FC19CFF3E86C38DD51475	해당 사항 없음	Win32/Agent.UXG	Ballistic Bobcat 백도어, 스폰서(v3).
2F3EDA9D788A35F4C467B63860E73C3B010529CC	해당 사항 없음	Win32/Agent.UXG	Ballistic Bobcat 백도어, 스폰서(v4).
E443DC53284537513C00818392E569C79328F56F	해당 사항 없음	Win32/Agent.UXG	탄도 밥캣 백도어, 스폰서(v5, 일명 알루미나).
C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61	해당 사항 없음	WinGo/Agent.BT	RevSocks 역방향 터널.
39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6	해당 사항 없음	황어 무리	응용 프로그램을 모니터링하고 크래시 덤프를 생성하기 위한 명령줄 유틸리티인 ProcDump.
A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A	해당 사항 없음	Generik.EYWYQYF	미미카츠.
5D60C8507AC9B840A13FFDF19E3315A3E14DE66A	해당 사항 없음	WinGo/Riskware.Gost.D	GO 단순 터널(GOST).
50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617	해당 사항 없음	WinGo/HackTool.Chisel.A	끌 역방향 터널.
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252	해당 사항 없음	해당 사항 없음	Host2IP 검색 도구.
519CA93366F1B1D71052C6CE140F5C80CE885181	해당 사항 없음	Win64/Packed.Enigma.BV	Enigma Protector 소프트웨어 보호 평가판으로 보호되는 RevSocks 터널.
4709827C7A95012AB970BF651ED5183083366C79	해당 사항 없음	해당 사항 없음	명령줄 연결 도구인 Plink(PuTTY Link).
99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8	해당 사항 없음	Win32/PSWTool.WebBrowserPassView.I	웹 브라우저에 저장된 비밀번호를 복구하는 비밀번호 복구 도구입니다.
E52AA118A59502790A4DD6625854BD93C0DEAF27	해당 사항 없음	MSIL/HackTool.SQLDump.A	SQL 데이터베이스와 상호 작용하고 SQL 데이터베이스에서 데이터를 추출하기 위한 도구입니다.

 

파일 경로

다음은 피해를 입은 컴퓨터에 스폰서 백도어가 배포된 경로 목록입니다.

%SYSTEMDRIVE%inetpubwwwrootaspnet_client

%USERPROFILE%AppDataLocalTemp파일

%USERPROFILE%AppDataLocalTemp2low

%USERPROFILE%데스크톱

%USERPROFILE%다운로드a

%WINDIR%

%WINDIR%INFMSExchange 배달 DSN

%WINDIR%작업

%WINDIR%Temp%WINDIR%Tempcrashpad1파일

네트워크

IP	Provider	처음 본	마지막으로 본	세부 정보
162.55.137[.]20	헤츠너 온라인 GMBH	2021-06-14	2021-06-15	파워레스C&C.
37.120.222[.]168	M247 LTD	2021-11-28	2021-12-12	C&C를 후원합니다.
198.144.189[.]74	Colocrossing	2021-11-29	2021-11-29	지원 도구 다운로드 사이트.
5.255.97[.]172	인프라 그룹 BV	2021-09-05	2021-10-28	지원 도구 다운로드 사이트.

이 테이블은 다음을 사용하여 제작되었습니다. 버전 13 MITRE ATT&CK 프레임워크.

술책	ID	성함	상품 설명
정찰	T1595	액티브 스캐닝: 취약점 스캐닝	Ballistic Bobcat은 악용할 취약한 버전의 Microsoft Exchange Server를 검색합니다.
자원 개발	T1587.001	기능 개발: 맬웨어	Ballistic Bobcat은 Sponsor 백도어를 설계하고 코딩했습니다.
	T1588.002	능력 획득: 도구	Ballistic Bobcat은 Sponsoring Access 캠페인의 일환으로 다양한 오픈 소스 도구를 사용합니다.
초기 액세스	T1190	공개 애플리케이션 악용	Ballistic Bobcat은 인터넷에 노출된 공격을 표적으로 삼습니다.  마이크로소프트 익스체인지 서버.
실행	T1059.003	명령 및 스크립팅 인터프리터: Windows 명령 셸	스폰서 백도어는 Windows 명령 셸을 사용하여 피해자 시스템에서 명령을 실행합니다.
	T1569.002	시스템 서비스: 서비스 실행	스폰서 백도어는 자신을 서비스로 설정하고 서비스가 실행된 후 주요 기능을 시작합니다.
고집	T1543.003	시스템 프로세스 생성 또는 수정: Windows 서비스	후원자는 루프에서 기본 기능을 실행하는 자동 시작 서비스를 생성하여 지속성을 유지합니다.
권한 에스컬레이션	T1078.003	유효한 계정: 로컬 계정	Ballistic Bobcat 운영자는 Sponsor 백도어를 배포하기 전에 처음에 시스템을 악용한 후 유효한 사용자의 자격 증명을 훔치려고 시도합니다.
방어 회피	T1140	파일 또는 정보의 난독화/디코드	스폰서는 암호화되고 난독화된 정보를 디스크에 저장하고 런타임 시 이를 해독합니다.
	T1027	난독화된 파일 또는 정보	스폰서 백도어가 디스크에 요구하는 구성 파일은 암호화되고 난독화됩니다.
	T1078.003	유효한 계정: 로컬 계정	스폰서는 운영자가 디스크에서 찾은 자격 증명을 사용하여 관리자 권한으로 실행됩니다. Ballistic Bobcat의 무해한 명명 규칙과 함께 이를 통해 Sponsor가 배경과 조화를 이룰 수 있습니다.
자격 증명 액세스	T1555.003	암호 저장소의 자격 증명: 웹 브라우저의 자격 증명	Ballistic Bobcat 운영자는 오픈 소스 도구를 사용하여 웹 브라우저 내부의 비밀번호 저장소에서 자격 증명을 훔칩니다.
발견	T1018	원격 시스템 검색	Ballistic Bobcat은 이전에 Agrius에서 사용했던 Host2IP 도구를 사용하여 연결 가능한 네트워크 내의 다른 시스템을 검색하고 해당 호스트 이름과 IP 주소를 상호 연관시킵니다.
명령 및 제어	T1001	데이터 난독화	스폰서 백도어는 데이터를 C&C 서버로 보내기 전에 난독화합니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 자동차 / EV, 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 차트프라임. ChartPrime으로 트레이딩 게임을 향상시키십시오. 여기에서 액세스하십시오.
• BlockOffsets. 환경 오프셋 소유권 현대화. 여기에서 액세스하십시오.
• 출처: https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/