Sponsor met in batch ingediende snorharen: Ballistische Bobcat's scan en achterdeur

ESET-onderzoekers ontdekten een ballistische Bobcat-campagne die zich richtte op verschillende entiteiten in Brazilië, Israël en de Verenigde Arabische Emiraten, waarbij gebruik werd gemaakt van een nieuwe achterdeur die we Sponsor hebben genoemd.

We ontdekten Sponsor nadat we een interessant voorbeeld hadden geanalyseerd dat we in mei 2022 op het systeem van een slachtoffer in Israël hadden gedetecteerd en de slachtoffers per land hadden onderzocht. Bij onderzoek werd het ons duidelijk dat het monster een nieuwe achterdeur was die werd ingezet door de Ballistic Bobcat APT-groep.

Ballistische Bobcat, eerder door ESET Research gevolgd als APT35/APT42 (ook wel Charming Kitten, TA453 of PHOSPHORUS genoemd), is een vermoedelijke Op Iran gerichte geavanceerde aanhoudende dreigingsgroep die zich richt op onderwijs-, overheids- en gezondheidszorgorganisaties, maar ook op mensenrechtenactivisten en journalisten. Het is het meest actief in Israël, het Midden-Oosten en de Verenigde Staten. Tijdens de pandemie richtte het zich met name op COVID-19-gerelateerde organisaties, waaronder de Wereldgezondheidsorganisatie en Gilead Pharmaceuticals, en op medisch onderzoekspersoneel.

Overlappingen tussen ballistische Bobcat-campagnes en Sponsor backdoor-versies laten een vrij duidelijk patroon zien van toolontwikkeling en -implementatie, met nauw gerichte campagnes, elk van beperkte duur. Vervolgens ontdekten we vier andere versies van de Sponsor-achterdeur. In totaal zagen we Sponsor ingezet bij ten minste 34 slachtoffers in Brazilië, Israël en de Verenigde Arabische Emiraten, zoals beschreven in  REF _Ref143075975 u Figuur 1
.

Kernpunten van deze blogpost:

• We ontdekten een nieuwe achterdeur van Ballistic Bobcat die we vervolgens Sponsor noemden.
• Ballistic Bobcat zette de nieuwe achterdeur in september 2021 in, terwijl het de campagne afrondde die werd gedocumenteerd in CISA Alert AA21-321A en de PowerLess-campagne.
• De achterdeur van de sponsor maakt gebruik van configuratiebestanden die op schijf zijn opgeslagen. Deze bestanden worden discreet ingezet als batchbestanden en zijn opzettelijk zo ontworpen dat ze onschadelijk lijken, waardoor wordt geprobeerd detectie door scanengines te omzeilen.
• Sponsor werd ingezet bij ten minste 34 slachtoffers in Brazilië, Israël en de Verenigde Arabische Emiraten; we hebben deze activiteit de Sponsoring Access-campagne genoemd.

Eerste toegang

Ballistic Bobcat verkreeg aanvankelijke toegang door misbruik te maken van bekende kwetsbaarheden in aan het internet blootgestelde Microsoft Exchange-servers door eerst nauwgezette scans van het systeem of netwerk uit te voeren om potentiële zwakheden of kwetsbaarheden te identificeren, en vervolgens die geïdentificeerde zwakheden te targeten en te exploiteren. Het is al enige tijd bekend dat de groep zich met dit gedrag bezighoudt. Veel van de 34 slachtoffers die in ESET-telemetrie zijn geïdentificeerd, kunnen echter het beste worden omschreven als slachtoffers van kansen in plaats van vooraf geselecteerde en onderzochte slachtoffers, omdat we vermoeden dat Ballistic Bobcat zich bezighield met het hierboven beschreven scan-en-exploit-gedrag omdat dit niet de enige bedreiging was. actor met toegang tot deze systemen. We hebben deze Ballistic Bobcat-activiteit, waarbij gebruik wordt gemaakt van de Sponsor-achterdeur, de Sponsoring Access-campagne genoemd.

De achterdeur van de Sponsor maakt gebruik van configuratiebestanden op schijf, die door batchbestanden worden verwijderd, en beide zijn onschadelijk om scanengines te omzeilen. Deze modulaire aanpak is er een die Ballistic Bobcat de afgelopen tweeënhalf jaar vrij vaak en met bescheiden succes heeft toegepast. Op gecompromitteerde systemen blijft Ballistic Bobcat ook een verscheidenheid aan open-source tools gebruiken, die we – samen met de Sponsor-achterdeur – in deze blogpost beschrijven.

victimologie

Een aanzienlijke meerderheid van de 34 slachtoffers bevond zich in Israël, terwijl slechts twee zich in andere landen bevonden:

• Brazilië, bij een medische coöperatie en zorgverzekeraar, en
• de Verenigde Arabische Emiraten, bij een onbekende organisatie.

 REF _Ref112861418 u tafel 1
beschrijft de branches en organisatorische details voor slachtoffers in Israël.

tafel  SEQ-tabel * ARABISCH 1. Verticals en organisatorische details voor slachtoffers in Israël

Verticaal	Details
Automotive	·       Een autobedrijf gespecialiseerd in maatwerk. ·       Een autoreparatie- en onderhoudsbedrijf.
Communicatie	·       Een Israëlisch mediakanaal.
Engineering	·       Een civieltechnisch ingenieursbureau. ·       Een milieutechnisch ingenieursbureau. ·       Een architectenbureau.
Financiële diensten	·       Een financiële dienstverlener die gespecialiseerd is in beleggingsadvies. ·       Een bedrijf dat royalty's beheert.
Gezondheidszorg	·       Een medische zorgverlener.
Verzekering	·       Een verzekeringsmaatschappij die een verzekeringsmarktplaats exploiteert. ·       Een commerciële verzekeringsmaatschappij.
Wet	·       Een kantoor gespecialiseerd in medisch recht.
Productie	·       Meerdere elektronicafabrikanten. ·       Een bedrijf dat commerciële producten op basis van metaal vervaardigt. ·       Een multinationaal technologieproductiebedrijf.
Retail	·       Een levensmiddelenretailer. ·       Een multinationale diamanthandelaar. ·       Een detailhandelaar in huidverzorgingsproducten. ·       Detailhandelaar en installateur van raambekleding. ·       Een wereldwijde leverancier van elektronische onderdelen. ·       Een leverancier van fysieke toegangscontrole.
Technologie	·       Een technologiebedrijf voor IT-diensten. ·       Een leverancier van IT-oplossingen.
telecommunicatie	·       Een telecommunicatiebedrijf.
niet geïdentificeerd	·       Meerdere onbekende organisaties.

Attribution

In augustus 2021 werd het Israëlische slachtoffer hierboven, dat een verzekeringsmarktplaats exploiteert, aangevallen door Ballistic Bobcat met het gereedschap CISA rapporteerde in november 2021. De indicatoren van compromis die we hebben waargenomen zijn:

• MicrosoftOutlookUpdateSchedule,
• MicrosoftOutlookUpdateSchedule.xml,
• GoogleWijzigingsbeheer en
• GoogleChangeManagement.xml.

Ballistische Bobcat-tools communiceerden met dezelfde command and control (C&C)-server als in het CISA-rapport: 162.55.137[.]20.

Vervolgens ontving hetzelfde slachtoffer in september 2021 de volgende generatie ballistische Bobcat-gereedschappen: de PowerLess-achterdeur en de ondersteunende toolset. De indicatoren van compromis die we waarnamen waren:

• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/dll.dll,
• windowsprocesses.exe en
• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/windowsprocesses.exe.

Op november 18^thIn 2021 zette de groep vervolgens een andere tool in (Plink) dat werd behandeld in het CISA-rapport, zoals MicrosoftOutLookUpdater.exe. Tien dagen later, op 28 november^thIn 2021 zette Ballistic Bobcat de Merlijn-agent (het agentgedeelte van een open-source post-exploitatie C&C-server en -agent geschreven in Go). Op schijf werd deze Merlin-agent genoemd googleUpdate.exe, waarbij dezelfde naamgevingsconventie wordt gebruikt als beschreven in het CISA-rapport om zich in het volle zicht te verbergen.

De Merlin-agent voerde een Meterpreter reverse shell uit die terugbelde naar een nieuwe C&C-server, 37.120.222[.]168:80. Op 12 december^th, 2021, de omgekeerde shell heeft een batchbestand verwijderd, install.baten binnen enkele minuten na het uitvoeren van het batchbestand duwden Ballistic Bobcat-operators hun nieuwste achterdeur, Sponsor, in. Dit zou de derde versie van de achterdeur blijken te zijn.

Technische analyse

Eerste toegang

We konden een waarschijnlijke manier van initiële toegang identificeren voor 23 van de 34 slachtoffers die we in ESET-telemetrie hebben waargenomen. Vergelijkbaar met wat werd gerapporteerd in de Machteloos en CISA Volgens rapporten heeft Ballistic Bobcat waarschijnlijk misbruik gemaakt van een bekende kwetsbaarheid, CVE-2021-26855, in Microsoft Exchange-servers om voet aan de grond te krijgen op deze systemen.

Voor 16 van de 34 slachtoffers lijkt Ballistic Bobcat niet de enige dreigingsactoren te zijn die toegang heeft tot hun systemen. Dit kan er, samen met de grote verscheidenheid aan slachtoffers en het schijnbare gebrek aan duidelijke intelligentiewaarde van een paar slachtoffers, op duiden dat Ballistic Bobcat zich bezighield met scan-en-exploit-gedrag, in tegenstelling tot een gerichte campagne tegen vooraf geselecteerde slachtoffers.

toolset

Open-source tools

Ballistic Bobcat maakte tijdens de Sponsoring Access-campagne gebruik van een aantal open-sourcetools. Deze tools en hun functies worden vermeld in  REF _Ref112861458 u tafel 2
.

tafel  SEQ-tabel * ARABISCH 2. Open-sourcetools gebruikt door Ballistic Bobcat

Bestandsnaam	Omschrijving
host2ip.exe	Kaarten een hostnaam naar een IP-adres binnen het lokale netwerk.
CSRSS.EXE	RevSokken, een omgekeerde tunneltoepassing.
mi.exe	Mimikatz, met de originele bestandsnaam midongle.exe en verpakt met de Gordeldier PE-pakker.
gost.exe	GO Eenvoudige tunnel (GOST), een tunneltoepassing geschreven in Go.
beitel.exe	Beitel, een TCP/UDP-tunnel via HTTP met behulp van SSH-lagen.
csrss_protected.exe	RevSocks-tunnel, beschermd met de proefversie van de Enigma Protector-softwarebescherming.
plink.exe	Plink (PuTTY Link), een hulpprogramma voor verbinding via de opdrachtregel.
WebBrowserPassView.exe	A wachtwoordherstelprogramma voor wachtwoorden die zijn opgeslagen in webbrowsers.
sqlextractor.exe	A tools voor interactie met en het extraheren van gegevens uit SQL-databases.
procdump64.exe	ProcDump, een  Sysinternals opdrachtregelhulpprogramma voor het monitoren van applicaties en het genereren van crashdumps.

Batch-bestanden

Ballistic Bobcat heeft batchbestanden op de systemen van de slachtoffers geplaatst vlak voordat de Sponsor-achterdeur werd ingezet. Bestandspaden waarvan wij op de hoogte zijn, zijn:

• C:inetpubwwwrootaspnet_clientInstall.bat
• %USERPROFILE%DesktopInstall.bat
• %WINDOWS%TasksInstall.bat

Helaas konden we geen van deze batchbestanden verkrijgen. Wij zijn echter van mening dat ze onschadelijke configuratiebestanden naar schijf schrijven, die de achterdeur van de sponsor nodig heeft om volledig te kunnen functioneren. Deze configuratiebestandsnamen zijn afkomstig van de achterdeuren van de Sponsor, maar zijn nooit verzameld:

• configuratie.txt
• knooppunt.txt
• fout.txt
• Verwijder.bat

Wij zijn van mening dat de batchbestanden en configuratiebestanden deel uitmaken van het modulaire ontwikkelingsproces waar Ballistic Bobcat de afgelopen jaren de voorkeur aan heeft gegeven.

Sponsor achterdeur

Backdoors van sponsors zijn geschreven in C++ met compilatietijdstempels en Program Database (PDB)-paden, zoals weergegeven in  REF _Ref112861527 u tafel 3
. Een opmerking over versienummers: de kolom Versie vertegenwoordigt de versie die we intern volgen op basis van de lineaire voortgang van Sponsor-backdoors waarbij wijzigingen worden aangebracht van de ene versie naar de volgende. De Interne versie De kolom bevat de versienummers die in elke Sponsor-backdoor zijn waargenomen en zijn opgenomen voor gemakkelijke vergelijking bij het onderzoeken van deze en andere potentiële Sponsor-voorbeelden.

tafel 3. Sponsor compilatie tijdstempels en PDB's

Versie	Interne versie	Tijdstempel van compilatie	VOB
1	1.0.0	2021-08-29 09:12:51	D:TempBD_Plus_SrvcReleaseBD_Plus_Srvc.pdb
2	1.0.0	2021-10-09 12:39:15	D:TempSponsorReleaseSponsor.pdb
3	1.4.0	2021-11-24 11:51:55	D:TempSponsorReleaseSponsor.pdb
4	2.1.1	2022-02-19 13:12:07	D:TempSponsorReleaseSponsor.pdb
5	1.2.3.0	2022-06-19 14:14:13	D:TempAluminaReleaseAlumina.pdb

Voor de eerste uitvoering van Sponsor is het runtime-argument vereist installeren, zonder welke Sponsor netjes afsluit, waarschijnlijk een eenvoudige anti-emulatie/anti-sandbox-techniek. Als dat argument wordt doorgegeven, creëert Sponsor een service met de naam SysteemNetwerk (In v1) en bijwerken (in alle andere versies). Het stelt de service in Startup Type naar Automatisch, en stelt het in om zijn eigen sponsorproces uit te voeren, en verleent het volledige toegang. Vervolgens wordt de service gestart.

Sponsor, die nu als service draait, probeert de bovengenoemde configuratiebestanden te openen die eerder op schijf zijn geplaatst. Het zoekt configuratie.txt en knooppunt.txt, beide in de huidige werkmap. Als de eerste ontbreekt, stelt Sponsor de service in Gestopt en stapt sierlijk uit.

Achterdeurconfiguratie

Configuratie van de sponsor, opgeslagen in configuratie.txt, bevat twee velden:

• Een update-interval, in seconden, om periodiek contact op te nemen met de C&C-server voor opdrachten.
• Een lijst met C&C-servers, ook wel genoemd relais in de binaire bestanden van Sponsor.

De C&C-servers worden gecodeerd opgeslagen (RC4) en de decoderingssleutel is aanwezig in de eerste regel van configuratie.txt. Elk van de velden, inclusief de decoderingssleutel, heeft het weergegeven formaat  REF _Ref142647636 u Figuur 3
.

Deze subvelden zijn:

• config_start: geeft de lengte aan van configuratienaam, indien aanwezig, of nul, indien niet. Gebruikt door de achterdeur om te weten waar config_data begint.
• config_len: lengte van config_data.
• configuratienaam: optioneel, bevat een naam die aan het configuratieveld is gegeven.
• config_data: de configuratie zelf, gecodeerd (in het geval van C&C-servers) of niet (alle andere velden).

 REF _Ref142648473 u Figuur 4
toont een voorbeeld met kleurgecodeerde inhoud van een mogelijk configuratie.txt bestand. Merk op dat dit geen feitelijk bestand is dat we hebben waargenomen, maar een verzonnen voorbeeld.

De laatste twee velden binnen configuratie.txt worden gecodeerd met RC4, waarbij gebruik wordt gemaakt van de tekenreeksrepresentatie van de SHA-256-hash van de opgegeven decoderingssleutel, als de sleutel om de gegevens te coderen. We zien dat de gecodeerde bytes hex-gecodeerd worden opgeslagen als ASCII-tekst.

Verzamelen van hostinformatie

Sponsor verzamelt informatie over de host waarop het draait, rapporteert alle verzamelde informatie aan de C&C-server en ontvangt een knooppunt-ID, die wordt geschreven naar knooppunt.txt.  REF _Ref142653641 u tafel 4
REF _Ref112861575 u
 vermeldt sleutels en waarden in het Windows-register die Sponsor gebruikt om de informatie te verkrijgen, en geeft een voorbeeld van de verzamelde gegevens.

Tabel 4. Informatie verzameld door sponsor

Registersleutel	Waarde	Voorbeeld
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters	hostname	D-835MK12
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTimeZoneInformation	TijdzoneSleutelnaam	Israël standaardtijd
HKEY_USERS.DEFAULTConfiguratieschermInternationaal	Landnaam	he-IL
HKEY_LOCAL_MACHINEHARDWAREBESCHRIJVINGSysteemBIOS	BasisbordProduct	10NX0010IL
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessor	ProcessorNaamString	Intel(R) Core(TM) i7-8565U CPU @ 1.80GHz
HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersion	Productnaam	Windows 10 Enterprise N
	CurrentVersion	6.3
	HuidigBuildNummer	19044
	Installatietype	CLIËNT

De Sponsor verzamelt ook het Windows-domein van de host met behulp van het volgende WMIC opdracht:

wmic computersysteem krijgt domein

Ten slotte gebruikt Sponsor Windows API's om de huidige gebruikersnaam te verzamelen (GetUserNameW), bepaal of het huidige sponsorproces wordt uitgevoerd als een 32- of 64-bits toepassing (GetCurrentProcesdan IsWow64Process(HuidigProces)), en bepaalt of het systeem op batterijvoeding werkt of is aangesloten op een AC- of DC-voedingsbron (GetSystemPowerStatus).

Een eigenaardigheid met betrekking tot de 32- of 64-bits applicatiecontrole is dat alle waargenomen samples van Sponsor 32-bits waren. Dit zou kunnen betekenen dat sommige van de tools in de volgende fase deze informatie nodig hebben.

De verzamelde informatie wordt verzonden in een base64-gecodeerd bericht dat, vóór het coderen, begint met r en heeft het weergegeven formaat  REF _Ref142655224 u Figuur 5
.

De informatie wordt gecodeerd met RC4 en de coderingssleutel is een willekeurig getal dat ter plekke wordt gegenereerd. De sleutel wordt gehasht met het MD5-algoritme, niet met SHA-256 zoals eerder vermeld. Dit is het geval voor alle communicatie waarbij de Sponsor gecodeerde gegevens moet verzenden.

De C&C-server antwoordt met een nummer dat wordt gebruikt om de getroffen computer te identificeren in latere communicatie, waarnaar wordt geschreven knooppunt.txt. Houd er rekening mee dat de C&C-server willekeurig uit de lijst wordt gekozen wanneer de r bericht wordt verzonden en dezelfde server wordt gebruikt voor alle daaropvolgende communicatie.

Opdrachtverwerkingslus

De sponsor vraagt ​​opdrachten in een lus aan, waarbij hij slaapt volgens het interval dat is gedefinieerd in configuratie.txt. De stappen zijn:

1. Verzend een chk=Test bericht herhaaldelijk, totdat de C&C-server antwoordt Ok.
2. Verzend een c (IS_CMD_AVAIL) bericht naar de C&C-server en ontvang een operatoropdracht.
3. Verwerk de opdracht.
   • Als er uitvoer naar de C&C-server moet worden verzonden, verzendt u een a (ACK) bericht, inclusief de uitvoer (gecodeerd), of
   • Als de uitvoering mislukt, stuur dan een f (MISLUKT) bericht. De foutmelding wordt niet verzonden.
4. Slapen.

De c bericht wordt verzonden om te verzoeken om een ​​opdracht om uit te voeren, en heeft het formaat (vóór base64-codering) dat wordt weergegeven  REF _Ref142658017 u Figuur 6
.

De gecodeerd_none veld in de afbeelding is het resultaat van het coderen van de hardgecodeerde string Geen met RC4. De sleutel voor codering is de MD5-hash van knooppunt_id.

De URL die wordt gebruikt om contact op te nemen met de C&C-server is als volgt opgebouwd: http://<IP_or_domain>:80. Dit kan daar op wijzen 37.120.222[.]168:80 is de enige C&C-server die tijdens de Sponsoring Access-campagne wordt gebruikt, omdat dit het enige IP-adres was waarvan we hebben waargenomen dat machines van slachtoffers verbinding maakten via poort 80.

Operatoropdrachten

Operatoropdrachten worden afgebakend in  REF _Ref112861551 u tafel 5
en verschijnen in de volgorde waarin ze in de code voorkomen. Communicatie met de C&C-server vindt plaats via poort 80.

Tabel 5. Operatoropdrachten en beschrijvingen

commando	Omschrijving
p	Verzendt de proces-ID voor het lopende sponsorproces.
e	Voert een opdracht uit, zoals gespecificeerd in een volgend aanvullend argument, op de Sponsor-host met behulp van de volgende tekenreeks: c:windowssystem32cmd.exe /c    > resultaat.txt 2>&1 Resultaten worden opgeslagen in resultaat.txt in de huidige werkmap. Stuurt een a bericht met de gecodeerde uitvoer naar de C&C-server, indien succesvol uitgevoerd. Als dit niet lukt, wordt er een f bericht (zonder de fout op te geven).
d	Ontvangt een bestand van de C&C-server en voert het uit. Deze opdracht heeft veel argumenten: de doelbestandsnaam waarnaar het bestand moet worden geschreven, de MD5-hash van het bestand, een map waarnaar het bestand moet worden geschreven (of standaard de huidige werkmap), een Boolean om aan te geven of het bestand moet worden uitgevoerd of not, en de inhoud van het uitvoerbare bestand, base64-gecodeerd. Als er geen fouten optreden, wordt een a bericht wordt verzonden naar de C&C-server met Bestand uploaden en uitvoeren or Upload het bestand succesvol zonder uit te voeren (gecodeerd). Als er fouten optreden tijdens de uitvoering van het bestand, wordt een f bericht wordt verzonden. Als de MD5-hash van de inhoud van het bestand niet overeenkomt met de opgegeven hash, wordt er een e (CRC_ERROR) bericht wordt naar de C&C-server verzonden (inclusief alleen de gebruikte coderingssleutel en geen andere informatie). Het gebruik van de term Uploaden Dit is mogelijk verwarrend omdat de operators en codeerders van Ballistic Bobcat het standpunt vanuit de serverkant innemen, terwijl velen dit zouden kunnen zien als een download gebaseerd op het ophalen van het bestand (dat wil zeggen, het downloaden ervan) door het systeem met behulp van de achterdeur van de Sponsor.
u	Pogingen om een ​​bestand te downloaden met behulp van de URLDownloadBestandW Windows API en voer het uit. Succes stuurt een a bericht met de gebruikte coderingssleutel en geen andere informatie. Mislukking stuurt een f bericht met een vergelijkbare structuur.
s	Voert een bestand uit dat al op schijf staat, Verwijder.bat in de huidige werkmap, die hoogstwaarschijnlijk opdrachten bevat om bestanden te verwijderen die verband houden met de achterdeur.
n	Dit commando kan expliciet worden gegeven door een operator of kan door de Sponsor worden afgeleid als het commando dat moet worden uitgevoerd bij afwezigheid van enig ander commando. Binnen Sponsor aangeduid als GEEN_CMD, voert het een gerandomiseerde slaap uit voordat het weer incheckt bij de C&C-server.
b	Werkt de lijst met C&C's bij die zijn opgeslagen in configuratie.txt in de huidige werkmap. De nieuwe C&C-adressen vervangen de vorige; ze worden niet aan de lijst toegevoegd. Het stuurt een a bericht met Nieuwe relais succesvol vervangen (gecodeerd) naar de C&C-server, indien succesvol bijgewerkt.
i	Werkt het vooraf bepaalde incheckinterval bij, opgegeven in configuratie.txt. Het stuurt een a bericht met Nieuw interval succesvol vervangen naar de C&C-server als de update succesvol is verlopen.

Updates voor sponsoring

Ballistische Bobcat-codeerders hebben codeherzieningen aangebracht tussen Sponsor v1 en v2. De twee belangrijkste veranderingen in dit laatste zijn:

• Optimalisatie van code waarbij verschillende langere functies werden geminimaliseerd in functies en subfuncties, en
• Het vermommen van de Sponsor als een updateprogramma door het volgende bericht in de serviceconfiguratie op te nemen:

App-updates zijn geweldig voor zowel app-gebruikers als apps. Updates betekenen dat ontwikkelaars altijd bezig zijn met het verbeteren van de app, waarbij ze bij elke update een betere klantervaring in gedachten houden.

Netwerk infrastructuur

Naast het meeliften op de C&C-infrastructuur die wordt gebruikt in de PowerLess-campagne, introduceerde Ballistic Bobcat ook een nieuwe C&C-server. De groep gebruikte ook meerdere IP's om ondersteuningstools op te slaan en te leveren tijdens de Sponsoring Access-campagne. We hebben bevestigd dat geen van deze IP's momenteel actief zijn.

Conclusie

Ballistic Bobcat blijft werken volgens een scan-en-exploit-model, op zoek naar kansen met niet-gepatchte kwetsbaarheden in aan internet blootgestelde Microsoft Exchange-servers. De groep blijft een gevarieerde open-source toolset gebruiken, aangevuld met verschillende aangepaste applicaties, waaronder de Sponsor-achterdeur. Verdedigers doen er goed aan alle apparaten die aan internet zijn blootgesteld, te patchen en waakzaam te blijven voor nieuwe toepassingen die binnen hun organisaties opduiken.

Neem voor vragen over ons onderzoek gepubliceerd op WeLiveSecurity contact met ons op via: bedreigingintel@eset.com.
ESET Research biedt privé APT-inlichtingenrapporten en datafeeds. Voor vragen over deze service kunt u terecht op de ESET-bedreigingsinformatie pagina.

IoC's

Bestanden

SHA-1	Bestandsnaam	Opsporing	Omschrijving
098B9A6CE722311553E1D8AC5849BA1DC5834C52	NB	Win32/Agent.UXG	Ballistische Bobcat-achterdeur, sponsor (v1).
5AEE3C957056A8640041ABC108D0B8A3D7A02EBD	NB	Win32/Agent.UXG	Ballistische Bobcat-achterdeur, sponsor (v2).
764EB6CA3752576C182FC19CFF3E86C38DD51475	NB	Win32/Agent.UXG	Ballistische Bobcat-achterdeur, sponsor (v3).
2F3EDA9D788A35F4C467B63860E73C3B010529CC	NB	Win32/Agent.UXG	Ballistische Bobcat-achterdeur, sponsor (v4).
E443DC53284537513C00818392E569C79328F56F	NB	Win32/Agent.UXG	Ballistische Bobcat-achterdeur, Sponsor (v5, ook bekend als Alumina).
C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61	NB	WinGo/Agent.BT	RevSocks omgekeerde tunnel.
39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6	NB	schoon	ProcDump, een opdrachtregelhulpprogramma voor het monitoren van applicaties en het genereren van crashdumps.
A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A	NB	Generik.EYWYQYF	Mimikatz.
5D60C8507AC9B840A13FFDF19E3315A3E14DE66A	NB	WinGo/Riskware.Gost.D	GO Eenvoudige tunnel (GOST).
50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617	NB	WinGo/HackTool.Chisel.A	Beitel omgekeerde tunnel.
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252	NB	NB	Host2IP-detectietool.
519CA93366F1B1D71052C6CE140F5C80CE885181	NB	Win64/Packed.Enigma.BV	RevSocks-tunnel, beschermd met de proefversie van de Enigma Protector-softwarebescherming.
4709827C7A95012AB970BF651ED5183083366C79	NB	NB	Plink (PuTTY Link), een hulpprogramma voor verbinding via de opdrachtregel.
99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8	NB	Win32/PSWTool.WebBrowserPassView.I	Een wachtwoordhersteltool voor wachtwoorden die zijn opgeslagen in webbrowsers.
E52AA118A59502790A4DD6625854BD93C0DEAF27	NB	MSIL/HackTool.SQLDump.A	Een hulpmiddel voor interactie met en het extraheren van gegevens uit SQL-databases.

 

Bestandspaden

Het volgende is een lijst met paden waar de achterdeur van de sponsor werd ingezet op machines die het slachtoffer zijn geworden.

%SYSTEMDRIVE%inetpubwwwrootaspnet_client

%USERPROFILE%AppDataLocalTemp-bestand

%USERPROFILE%AppDataLocalTemp2low

% USERPROFILE% Desktop

%USERPROFILE%Downloadsa

%WINDIR%

%WINDIR%INFMSExchange-leverings-DSN

%WINDIR%Taken

%WINDIR%Temp%WINDIR%Tempcrashpad1Bestanden

Netwerk

IP	leverancier	Eerst gezien	Laatst gezien	Details
162.55.137[.]20	Hetzner Online GMBH	2021-06-14	2021-06-15	PowerLess C&C.
37.120.222[.]168	M247LTD	2021-11-28	2021-12-12	Sponsor C&C.
198.144.189[.]74	Kleurkruising	2021-11-29	2021-11-29	Downloadsite voor ondersteuningstools.
5.255.97[.]172	De Infrastructuur Groep BV	2021-09-05	2021-10-28	Downloadsite voor ondersteuningstools.

Deze tafel is gemaakt met behulp van versie 13 van het MITRE ATT&CK raamwerk.

Tactiek	ID	Naam	Omschrijving
verkenning	T1595	Actief scannen: scannen op kwetsbaarheden	Ballistic Bobcat scant of er kwetsbare versies van Microsoft Exchange Servers kunnen worden misbruikt.
Ontwikkeling van hulpbronnen	T1587.001	Ontwikkelmogelijkheden: Malware	Ballistic Bobcat ontwierp en codeerde de achterdeur van de sponsor.
	T1588.002	Mogelijkheden verkrijgen: Tool	Ballistic Bobcat maakt gebruik van verschillende open source tools als onderdeel van de Sponsoring Access-campagne.
Eerste toegang	T1190	Openbare toepassing gebruiken	Ballistische Bobcat-doelen blootgesteld aan internet  Microsoft Exchange-servers.
Uitvoering	T1059.003	Opdracht- en scriptinterpreter: Windows Command Shell	De Sponsor-achterdeur gebruikt de Windows-opdrachtshell om opdrachten uit te voeren op het systeem van het slachtoffer.
	T1569.002	Systeemservices: service-uitvoering	De Sponsor-backdoor stelt zichzelf op als een service en initieert zijn primaire functies nadat de service is uitgevoerd.
Volharding	T1543.003	Systeemproces maken of wijzigen: Windows-service	Sponsor handhaaft zijn doorzettingsvermogen door een service te creëren met automatisch opstarten die zijn primaire functies in een lus uitvoert.
Privilege-escalatie	T1078.003	Geldige accounts: lokale accounts	Ballistische Bobcat-operators proberen de inloggegevens van geldige gebruikers te stelen nadat ze eerst een systeem hebben misbruikt voordat ze de achterdeur van de Sponsor hebben ingezet.
verdediging ontduiking	T1140	Deobfuscate/decodeer bestanden of informatie	Sponsor slaat informatie op schijf op die gecodeerd en onleesbaar is, en maakt deze tijdens runtime onleesbaar.
	T1027	Verduisterde bestanden of informatie	Configuratiebestanden die de achterdeur van de Sponsor op schijf nodig heeft, zijn gecodeerd en onleesbaar.
	T1078.003	Geldige accounts: lokale accounts	Sponsor wordt uitgevoerd met beheerdersrechten, waarschijnlijk met behulp van inloggegevens die operators op schijf hebben gevonden; Samen met de onschadelijke naamgevingsconventies van Ballistic Bobcat zorgt dit ervoor dat Sponsor opgaat in de achtergrond.
Toegang tot inloggegevens	T1555.003	Inloggegevens uit wachtwoordopslag: inloggegevens uit webbrowsers	Ballistische Bobcat-operators gebruiken open-sourcetools om inloggegevens te stelen uit wachtwoordopslag in webbrowsers.
De reis van mijn leven	T1018	Systeemdetectie op afstand	Ballistic Bobcat gebruikt de Host2IP-tool, die eerder door Agrius werd gebruikt, om andere systemen binnen bereikbare netwerken te ontdekken en hun hostnamen en IP-adressen met elkaar in verband te brengen.
Command and Control	T1001	Gegevensverduistering	De achterdeur van de Sponsor verbergt gegevens voordat deze naar de C&C-server worden verzonden.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. Automotive / EV's, carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• ChartPrime. Verhoog uw handelsspel met ChartPrime. Toegang hier.
• BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
• Bron: https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/