ESET-onderzoekers ontdekten een ballistische Bobcat-campagne die zich richtte op verschillende entiteiten in Brazilië, Israël en de Verenigde Arabische Emiraten, waarbij gebruik werd gemaakt van een nieuwe achterdeur die we Sponsor hebben genoemd.
We ontdekten Sponsor nadat we een interessant voorbeeld hadden geanalyseerd dat we in mei 2022 op het systeem van een slachtoffer in Israël hadden gedetecteerd en de slachtoffers per land hadden onderzocht. Bij onderzoek werd het ons duidelijk dat het monster een nieuwe achterdeur was die werd ingezet door de Ballistic Bobcat APT-groep.
Ballistische Bobcat, eerder door ESET Research gevolgd als APT35/APT42 (ook wel Charming Kitten, TA453 of PHOSPHORUS genoemd), is een vermoedelijke Op Iran gerichte geavanceerde aanhoudende dreigingsgroep die zich richt op onderwijs-, overheids- en gezondheidszorgorganisaties, maar ook op mensenrechtenactivisten en journalisten. Het is het meest actief in Israël, het Midden-Oosten en de Verenigde Staten. Tijdens de pandemie richtte het zich met name op COVID-19-gerelateerde organisaties, waaronder de Wereldgezondheidsorganisatie en Gilead Pharmaceuticals, en op medisch onderzoekspersoneel.
Overlappingen tussen ballistische Bobcat-campagnes en Sponsor backdoor-versies laten een vrij duidelijk patroon zien van toolontwikkeling en -implementatie, met nauw gerichte campagnes, elk van beperkte duur. Vervolgens ontdekten we vier andere versies van de Sponsor-achterdeur. In totaal zagen we Sponsor ingezet bij ten minste 34 slachtoffers in Brazilië, Israël en de Verenigde Arabische Emiraten, zoals beschreven in REF _Ref143075975 u Figuur 1
.
Kernpunten van deze blogpost:
- We ontdekten een nieuwe achterdeur van Ballistic Bobcat die we vervolgens Sponsor noemden.
- Ballistic Bobcat zette de nieuwe achterdeur in september 2021 in, terwijl het de campagne afrondde die werd gedocumenteerd in CISA Alert AA21-321A en de PowerLess-campagne.
- De achterdeur van de sponsor maakt gebruik van configuratiebestanden die op schijf zijn opgeslagen. Deze bestanden worden discreet ingezet als batchbestanden en zijn opzettelijk zo ontworpen dat ze onschadelijk lijken, waardoor wordt geprobeerd detectie door scanengines te omzeilen.
- Sponsor werd ingezet bij ten minste 34 slachtoffers in Brazilië, Israël en de Verenigde Arabische Emiraten; we hebben deze activiteit de Sponsoring Access-campagne genoemd.
Eerste toegang
Ballistic Bobcat verkreeg aanvankelijke toegang door misbruik te maken van bekende kwetsbaarheden in aan het internet blootgestelde Microsoft Exchange-servers door eerst nauwgezette scans van het systeem of netwerk uit te voeren om potentiële zwakheden of kwetsbaarheden te identificeren, en vervolgens die geïdentificeerde zwakheden te targeten en te exploiteren. Het is al enige tijd bekend dat de groep zich met dit gedrag bezighoudt. Veel van de 34 slachtoffers die in ESET-telemetrie zijn geïdentificeerd, kunnen echter het beste worden omschreven als slachtoffers van kansen in plaats van vooraf geselecteerde en onderzochte slachtoffers, omdat we vermoeden dat Ballistic Bobcat zich bezighield met het hierboven beschreven scan-en-exploit-gedrag omdat dit niet de enige bedreiging was. actor met toegang tot deze systemen. We hebben deze Ballistic Bobcat-activiteit, waarbij gebruik wordt gemaakt van de Sponsor-achterdeur, de Sponsoring Access-campagne genoemd.
De achterdeur van de Sponsor maakt gebruik van configuratiebestanden op schijf, die door batchbestanden worden verwijderd, en beide zijn onschadelijk om scanengines te omzeilen. Deze modulaire aanpak is er een die Ballistic Bobcat de afgelopen tweeënhalf jaar vrij vaak en met bescheiden succes heeft toegepast. Op gecompromitteerde systemen blijft Ballistic Bobcat ook een verscheidenheid aan open-source tools gebruiken, die we – samen met de Sponsor-achterdeur – in deze blogpost beschrijven.
victimologie
Een aanzienlijke meerderheid van de 34 slachtoffers bevond zich in Israël, terwijl slechts twee zich in andere landen bevonden:
- Brazilië, bij een medische coöperatie en zorgverzekeraar, en
- de Verenigde Arabische Emiraten, bij een onbekende organisatie.
REF _Ref112861418 u tafel 1
beschrijft de branches en organisatorische details voor slachtoffers in Israël.
tafel SEQ-tabel * ARABISCH 1. Verticals en organisatorische details voor slachtoffers in Israël
Verticaal |
Details |
Automotive |
· Een autobedrijf gespecialiseerd in maatwerk. · Een autoreparatie- en onderhoudsbedrijf. |
Communicatie |
· Een Israëlisch mediakanaal. |
Engineering |
· Een civieltechnisch ingenieursbureau. · Een milieutechnisch ingenieursbureau. · Een architectenbureau. |
Financiële diensten |
· Een financiële dienstverlener die gespecialiseerd is in beleggingsadvies. · Een bedrijf dat royalty's beheert. |
Gezondheidszorg |
· Een medische zorgverlener. |
Verzekering |
· Een verzekeringsmaatschappij die een verzekeringsmarktplaats exploiteert. · Een commerciële verzekeringsmaatschappij. |
Wet |
· Een kantoor gespecialiseerd in medisch recht. |
Productie |
· Meerdere elektronicafabrikanten. · Een bedrijf dat commerciële producten op basis van metaal vervaardigt. · Een multinationaal technologieproductiebedrijf. |
Retail |
· Een levensmiddelenretailer. · Een multinationale diamanthandelaar. · Een detailhandelaar in huidverzorgingsproducten. · Detailhandelaar en installateur van raambekleding. · Een wereldwijde leverancier van elektronische onderdelen. · Een leverancier van fysieke toegangscontrole. |
Technologie |
· Een technologiebedrijf voor IT-diensten. · Een leverancier van IT-oplossingen. |
telecommunicatie |
· Een telecommunicatiebedrijf. |
niet geïdentificeerd |
· Meerdere onbekende organisaties. |
Attribution
In augustus 2021 werd het Israëlische slachtoffer hierboven, dat een verzekeringsmarktplaats exploiteert, aangevallen door Ballistic Bobcat met het gereedschap CISA rapporteerde in november 2021. De indicatoren van compromis die we hebben waargenomen zijn:
- MicrosoftOutlookUpdateSchedule,
- MicrosoftOutlookUpdateSchedule.xml,
- GoogleWijzigingsbeheer en
- GoogleChangeManagement.xml.
Ballistische Bobcat-tools communiceerden met dezelfde command and control (C&C)-server als in het CISA-rapport: 162.55.137[.]20.
Vervolgens ontving hetzelfde slachtoffer in september 2021 de volgende generatie ballistische Bobcat-gereedschappen: de PowerLess-achterdeur en de ondersteunende toolset. De indicatoren van compromis die we waarnamen waren:
- http://162.55.137[.]20/gsdhdDdfgA5sS/ff/dll.dll,
- windowsprocesses.exe en
- http://162.55.137[.]20/gsdhdDdfgA5sS/ff/windowsprocesses.exe.
Op november 18thIn 2021 zette de groep vervolgens een andere tool in (Plink) dat werd behandeld in het CISA-rapport, zoals MicrosoftOutLookUpdater.exe. Tien dagen later, op 28 novemberthIn 2021 zette Ballistic Bobcat de Merlijn-agent (het agentgedeelte van een open-source post-exploitatie C&C-server en -agent geschreven in Go). Op schijf werd deze Merlin-agent genoemd googleUpdate.exe, waarbij dezelfde naamgevingsconventie wordt gebruikt als beschreven in het CISA-rapport om zich in het volle zicht te verbergen.
De Merlin-agent voerde een Meterpreter reverse shell uit die terugbelde naar een nieuwe C&C-server, 37.120.222[.]168:80. Op 12 decemberth, 2021, de omgekeerde shell heeft een batchbestand verwijderd, install.baten binnen enkele minuten na het uitvoeren van het batchbestand duwden Ballistic Bobcat-operators hun nieuwste achterdeur, Sponsor, in. Dit zou de derde versie van de achterdeur blijken te zijn.
Technische analyse
Eerste toegang
We konden een waarschijnlijke manier van initiële toegang identificeren voor 23 van de 34 slachtoffers die we in ESET-telemetrie hebben waargenomen. Vergelijkbaar met wat werd gerapporteerd in de Machteloos en CISA Volgens rapporten heeft Ballistic Bobcat waarschijnlijk misbruik gemaakt van een bekende kwetsbaarheid, CVE-2021-26855, in Microsoft Exchange-servers om voet aan de grond te krijgen op deze systemen.
Voor 16 van de 34 slachtoffers lijkt Ballistic Bobcat niet de enige dreigingsactoren te zijn die toegang heeft tot hun systemen. Dit kan er, samen met de grote verscheidenheid aan slachtoffers en het schijnbare gebrek aan duidelijke intelligentiewaarde van een paar slachtoffers, op duiden dat Ballistic Bobcat zich bezighield met scan-en-exploit-gedrag, in tegenstelling tot een gerichte campagne tegen vooraf geselecteerde slachtoffers.
toolset
Open-source tools
Ballistic Bobcat maakte tijdens de Sponsoring Access-campagne gebruik van een aantal open-sourcetools. Deze tools en hun functies worden vermeld in REF _Ref112861458 u tafel 2
.
tafel SEQ-tabel * ARABISCH 2. Open-sourcetools gebruikt door Ballistic Bobcat
Bestandsnaam |
Omschrijving |
host2ip.exe
|
Kaarten een hostnaam naar een IP-adres binnen het lokale netwerk. |
CSRSS.EXE
|
RevSokken, een omgekeerde tunneltoepassing. |
mi.exe
|
Mimikatz, met de originele bestandsnaam midongle.exe en verpakt met de Gordeldier PE-pakker. |
gost.exe
|
GO Eenvoudige tunnel (GOST), een tunneltoepassing geschreven in Go. |
beitel.exe
|
Beitel, een TCP/UDP-tunnel via HTTP met behulp van SSH-lagen. |
csrss_protected.exe
|
RevSocks-tunnel, beschermd met de proefversie van de Enigma Protector-softwarebescherming. |
plink.exe
|
Plink (PuTTY Link), een hulpprogramma voor verbinding via de opdrachtregel. |
WebBrowserPassView.exe
|
A wachtwoordherstelprogramma voor wachtwoorden die zijn opgeslagen in webbrowsers.
|
sqlextractor.exe
|
A tools voor interactie met en het extraheren van gegevens uit SQL-databases. |
procdump64.exe
|
ProcDump, een Sysinternals opdrachtregelhulpprogramma voor het monitoren van applicaties en het genereren van crashdumps. |
Batch-bestanden
Ballistic Bobcat heeft batchbestanden op de systemen van de slachtoffers geplaatst vlak voordat de Sponsor-achterdeur werd ingezet. Bestandspaden waarvan wij op de hoogte zijn, zijn:
- C:inetpubwwwrootaspnet_clientInstall.bat
- %USERPROFILE%DesktopInstall.bat
- %WINDOWS%TasksInstall.bat
Helaas konden we geen van deze batchbestanden verkrijgen. Wij zijn echter van mening dat ze onschadelijke configuratiebestanden naar schijf schrijven, die de achterdeur van de sponsor nodig heeft om volledig te kunnen functioneren. Deze configuratiebestandsnamen zijn afkomstig van de achterdeuren van de Sponsor, maar zijn nooit verzameld:
- configuratie.txt
- knooppunt.txt
- fout.txt
- Verwijder.bat
Wij zijn van mening dat de batchbestanden en configuratiebestanden deel uitmaken van het modulaire ontwikkelingsproces waar Ballistic Bobcat de afgelopen jaren de voorkeur aan heeft gegeven.
Sponsor achterdeur
Backdoors van sponsors zijn geschreven in C++ met compilatietijdstempels en Program Database (PDB)-paden, zoals weergegeven in REF _Ref112861527 u tafel 3
. Een opmerking over versienummers: de kolom Versie vertegenwoordigt de versie die we intern volgen op basis van de lineaire voortgang van Sponsor-backdoors waarbij wijzigingen worden aangebracht van de ene versie naar de volgende. De Interne versie De kolom bevat de versienummers die in elke Sponsor-backdoor zijn waargenomen en zijn opgenomen voor gemakkelijke vergelijking bij het onderzoeken van deze en andere potentiële Sponsor-voorbeelden.
tafel 3. Sponsor compilatie tijdstempels en PDB's
Versie |
Interne versie |
Tijdstempel van compilatie |
VOB |
1 |
1.0.0 |
2021-08-29 09:12:51 |
D:TempBD_Plus_SrvcReleaseBD_Plus_Srvc.pdb |
2 |
1.0.0 |
2021-10-09 12:39:15 |
D:TempSponsorReleaseSponsor.pdb |
3 |
1.4.0 |
2021-11-24 11:51:55 |
D:TempSponsorReleaseSponsor.pdb |
4 |
2.1.1 |
2022-02-19 13:12:07 |
D:TempSponsorReleaseSponsor.pdb |
5 |
1.2.3.0 |
2022-06-19 14:14:13 |
D:TempAluminaReleaseAlumina.pdb |
Voor de eerste uitvoering van Sponsor is het runtime-argument vereist installeren, zonder welke Sponsor netjes afsluit, waarschijnlijk een eenvoudige anti-emulatie/anti-sandbox-techniek. Als dat argument wordt doorgegeven, creëert Sponsor een service met de naam SysteemNetwerk (In v1) en bijwerken (in alle andere versies). Het stelt de service in Startup Type naar Automatisch, en stelt het in om zijn eigen sponsorproces uit te voeren, en verleent het volledige toegang. Vervolgens wordt de service gestart.
Sponsor, die nu als service draait, probeert de bovengenoemde configuratiebestanden te openen die eerder op schijf zijn geplaatst. Het zoekt configuratie.txt en knooppunt.txt, beide in de huidige werkmap. Als de eerste ontbreekt, stelt Sponsor de service in Gestopt en stapt sierlijk uit.
Achterdeurconfiguratie
Configuratie van de sponsor, opgeslagen in configuratie.txt, bevat twee velden:
- Een update-interval, in seconden, om periodiek contact op te nemen met de C&C-server voor opdrachten.
- Een lijst met C&C-servers, ook wel genoemd relais in de binaire bestanden van Sponsor.
De C&C-servers worden gecodeerd opgeslagen (RC4) en de decoderingssleutel is aanwezig in de eerste regel van configuratie.txt. Elk van de velden, inclusief de decoderingssleutel, heeft het weergegeven formaat REF _Ref142647636 u Figuur 3
.
Deze subvelden zijn:
- config_start: geeft de lengte aan van configuratienaam, indien aanwezig, of nul, indien niet. Gebruikt door de achterdeur om te weten waar config_data begint.
- config_len: lengte van config_data.
- configuratienaam: optioneel, bevat een naam die aan het configuratieveld is gegeven.
- config_data: de configuratie zelf, gecodeerd (in het geval van C&C-servers) of niet (alle andere velden).
REF _Ref142648473 u Figuur 4
toont een voorbeeld met kleurgecodeerde inhoud van een mogelijk configuratie.txt bestand. Merk op dat dit geen feitelijk bestand is dat we hebben waargenomen, maar een verzonnen voorbeeld.
De laatste twee velden binnen configuratie.txt worden gecodeerd met RC4, waarbij gebruik wordt gemaakt van de tekenreeksrepresentatie van de SHA-256-hash van de opgegeven decoderingssleutel, als de sleutel om de gegevens te coderen. We zien dat de gecodeerde bytes hex-gecodeerd worden opgeslagen als ASCII-tekst.
Verzamelen van hostinformatie
Sponsor verzamelt informatie over de host waarop het draait, rapporteert alle verzamelde informatie aan de C&C-server en ontvangt een knooppunt-ID, die wordt geschreven naar knooppunt.txt. REF _Ref142653641 u tafel 4
REF _Ref112861575 u
vermeldt sleutels en waarden in het Windows-register die Sponsor gebruikt om de informatie te verkrijgen, en geeft een voorbeeld van de verzamelde gegevens.
Tabel 4. Informatie verzameld door sponsor
Registersleutel |
Waarde |
Voorbeeld |
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
|
hostname
|
D-835MK12
|
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTimeZoneInformation
|
TijdzoneSleutelnaam
|
Israël standaardtijd
|
HKEY_USERS.DEFAULTConfiguratieschermInternationaal
|
Landnaam
|
he-IL
|
HKEY_LOCAL_MACHINEHARDWAREBESCHRIJVINGSysteemBIOS
|
BasisbordProduct
|
10NX0010IL
|
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessor
|
ProcessorNaamString
|
Intel(R) Core(TM) i7-8565U CPU @ 1.80GHz
|
HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersion
|
Productnaam
|
Windows 10 Enterprise N
|
CurrentVersion
|
6.3
|
|
HuidigBuildNummer
|
19044
|
|
Installatietype
|
CLIËNT
|
De Sponsor verzamelt ook het Windows-domein van de host met behulp van het volgende WMIC opdracht:
wmic computersysteem krijgt domein
Ten slotte gebruikt Sponsor Windows API's om de huidige gebruikersnaam te verzamelen (GetUserNameW), bepaal of het huidige sponsorproces wordt uitgevoerd als een 32- of 64-bits toepassing (GetCurrentProcesdan IsWow64Process(HuidigProces)), en bepaalt of het systeem op batterijvoeding werkt of is aangesloten op een AC- of DC-voedingsbron (GetSystemPowerStatus).
Een eigenaardigheid met betrekking tot de 32- of 64-bits applicatiecontrole is dat alle waargenomen samples van Sponsor 32-bits waren. Dit zou kunnen betekenen dat sommige van de tools in de volgende fase deze informatie nodig hebben.
De verzamelde informatie wordt verzonden in een base64-gecodeerd bericht dat, vóór het coderen, begint met r en heeft het weergegeven formaat REF _Ref142655224 u Figuur 5
.
De informatie wordt gecodeerd met RC4 en de coderingssleutel is een willekeurig getal dat ter plekke wordt gegenereerd. De sleutel wordt gehasht met het MD5-algoritme, niet met SHA-256 zoals eerder vermeld. Dit is het geval voor alle communicatie waarbij de Sponsor gecodeerde gegevens moet verzenden.
De C&C-server antwoordt met een nummer dat wordt gebruikt om de getroffen computer te identificeren in latere communicatie, waarnaar wordt geschreven knooppunt.txt. Houd er rekening mee dat de C&C-server willekeurig uit de lijst wordt gekozen wanneer de r bericht wordt verzonden en dezelfde server wordt gebruikt voor alle daaropvolgende communicatie.
Opdrachtverwerkingslus
De sponsor vraagt opdrachten in een lus aan, waarbij hij slaapt volgens het interval dat is gedefinieerd in configuratie.txt. De stappen zijn:
- Verzend een chk=Test bericht herhaaldelijk, totdat de C&C-server antwoordt Ok.
- Verzend een c (IS_CMD_AVAIL) bericht naar de C&C-server en ontvang een operatoropdracht.
- Verwerk de opdracht.
- Als er uitvoer naar de C&C-server moet worden verzonden, verzendt u een a (ACK) bericht, inclusief de uitvoer (gecodeerd), of
- Als de uitvoering mislukt, stuur dan een f
(
MISLUKT) bericht. De foutmelding wordt niet verzonden.
- Slapen.
De c bericht wordt verzonden om te verzoeken om een opdracht om uit te voeren, en heeft het formaat (vóór base64-codering) dat wordt weergegeven REF _Ref142658017 u Figuur 6
.
De gecodeerd_none veld in de afbeelding is het resultaat van het coderen van de hardgecodeerde string Geen met RC4. De sleutel voor codering is de MD5-hash van knooppunt_id.
De URL die wordt gebruikt om contact op te nemen met de C&C-server is als volgt opgebouwd: http://<IP_or_domain>:80. Dit kan daar op wijzen 37.120.222[.]168:80 is de enige C&C-server die tijdens de Sponsoring Access-campagne wordt gebruikt, omdat dit het enige IP-adres was waarvan we hebben waargenomen dat machines van slachtoffers verbinding maakten via poort 80.
Operatoropdrachten
Operatoropdrachten worden afgebakend in REF _Ref112861551 u tafel 5
en verschijnen in de volgorde waarin ze in de code voorkomen. Communicatie met de C&C-server vindt plaats via poort 80.
Tabel 5. Operatoropdrachten en beschrijvingen
commando |
Omschrijving |
p |
Verzendt de proces-ID voor het lopende sponsorproces. |
e |
Voert een opdracht uit, zoals gespecificeerd in een volgend aanvullend argument, op de Sponsor-host met behulp van de volgende tekenreeks: c:windowssystem32cmd.exe /c > resultaat.txt 2>&1 Resultaten worden opgeslagen in resultaat.txt in de huidige werkmap. Stuurt een a bericht met de gecodeerde uitvoer naar de C&C-server, indien succesvol uitgevoerd. Als dit niet lukt, wordt er een f bericht (zonder de fout op te geven). |
d |
Ontvangt een bestand van de C&C-server en voert het uit. Deze opdracht heeft veel argumenten: de doelbestandsnaam waarnaar het bestand moet worden geschreven, de MD5-hash van het bestand, een map waarnaar het bestand moet worden geschreven (of standaard de huidige werkmap), een Boolean om aan te geven of het bestand moet worden uitgevoerd of not, en de inhoud van het uitvoerbare bestand, base64-gecodeerd. Als er geen fouten optreden, wordt een a bericht wordt verzonden naar de C&C-server met Bestand uploaden en uitvoeren or Upload het bestand succesvol zonder uit te voeren (gecodeerd). Als er fouten optreden tijdens de uitvoering van het bestand, wordt een f bericht wordt verzonden. Als de MD5-hash van de inhoud van het bestand niet overeenkomt met de opgegeven hash, wordt er een e (CRC_ERROR) bericht wordt naar de C&C-server verzonden (inclusief alleen de gebruikte coderingssleutel en geen andere informatie). Het gebruik van de term Uploaden Dit is mogelijk verwarrend omdat de operators en codeerders van Ballistic Bobcat het standpunt vanuit de serverkant innemen, terwijl velen dit zouden kunnen zien als een download gebaseerd op het ophalen van het bestand (dat wil zeggen, het downloaden ervan) door het systeem met behulp van de achterdeur van de Sponsor. |
u |
Pogingen om een bestand te downloaden met behulp van de URLDownloadBestandW Windows API en voer het uit. Succes stuurt een a bericht met de gebruikte coderingssleutel en geen andere informatie. Mislukking stuurt een f bericht met een vergelijkbare structuur. |
s |
Voert een bestand uit dat al op schijf staat, Verwijder.bat in de huidige werkmap, die hoogstwaarschijnlijk opdrachten bevat om bestanden te verwijderen die verband houden met de achterdeur. |
n |
Dit commando kan expliciet worden gegeven door een operator of kan door de Sponsor worden afgeleid als het commando dat moet worden uitgevoerd bij afwezigheid van enig ander commando. Binnen Sponsor aangeduid als GEEN_CMD, voert het een gerandomiseerde slaap uit voordat het weer incheckt bij de C&C-server. |
b |
Werkt de lijst met C&C's bij die zijn opgeslagen in configuratie.txt in de huidige werkmap. De nieuwe C&C-adressen vervangen de vorige; ze worden niet aan de lijst toegevoegd. Het stuurt een a bericht met |
i |
Werkt het vooraf bepaalde incheckinterval bij, opgegeven in configuratie.txt. Het stuurt een a bericht met Nieuw interval succesvol vervangen naar de C&C-server als de update succesvol is verlopen. |
Updates voor sponsoring
Ballistische Bobcat-codeerders hebben codeherzieningen aangebracht tussen Sponsor v1 en v2. De twee belangrijkste veranderingen in dit laatste zijn:
- Optimalisatie van code waarbij verschillende langere functies werden geminimaliseerd in functies en subfuncties, en
- Het vermommen van de Sponsor als een updateprogramma door het volgende bericht in de serviceconfiguratie op te nemen:
App-updates zijn geweldig voor zowel app-gebruikers als apps. Updates betekenen dat ontwikkelaars altijd bezig zijn met het verbeteren van de app, waarbij ze bij elke update een betere klantervaring in gedachten houden.
Netwerk infrastructuur
Naast het meeliften op de C&C-infrastructuur die wordt gebruikt in de PowerLess-campagne, introduceerde Ballistic Bobcat ook een nieuwe C&C-server. De groep gebruikte ook meerdere IP's om ondersteuningstools op te slaan en te leveren tijdens de Sponsoring Access-campagne. We hebben bevestigd dat geen van deze IP's momenteel actief zijn.
Conclusie
Ballistic Bobcat blijft werken volgens een scan-en-exploit-model, op zoek naar kansen met niet-gepatchte kwetsbaarheden in aan internet blootgestelde Microsoft Exchange-servers. De groep blijft een gevarieerde open-source toolset gebruiken, aangevuld met verschillende aangepaste applicaties, waaronder de Sponsor-achterdeur. Verdedigers doen er goed aan alle apparaten die aan internet zijn blootgesteld, te patchen en waakzaam te blijven voor nieuwe toepassingen die binnen hun organisaties opduiken.
Neem voor vragen over ons onderzoek gepubliceerd op WeLiveSecurity contact met ons op via: bedreigingintel@eset.com.
ESET Research biedt privé APT-inlichtingenrapporten en datafeeds. Voor vragen over deze service kunt u terecht op de ESET-bedreigingsinformatie pagina.
IoC's
Bestanden
SHA-1 |
Bestandsnaam |
Opsporing |
Omschrijving |
098B9A6CE722311553E1D8AC5849BA1DC5834C52
|
NB |
Win32/Agent.UXG |
Ballistische Bobcat-achterdeur, sponsor (v1). |
5AEE3C957056A8640041ABC108D0B8A3D7A02EBD
|
NB |
Win32/Agent.UXG |
Ballistische Bobcat-achterdeur, sponsor (v2). |
764EB6CA3752576C182FC19CFF3E86C38DD51475
|
NB |
Win32/Agent.UXG |
Ballistische Bobcat-achterdeur, sponsor (v3). |
2F3EDA9D788A35F4C467B63860E73C3B010529CC
|
NB |
Win32/Agent.UXG |
Ballistische Bobcat-achterdeur, sponsor (v4). |
E443DC53284537513C00818392E569C79328F56F
|
NB |
Win32/Agent.UXG |
Ballistische Bobcat-achterdeur, Sponsor (v5, ook bekend als Alumina). |
C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61
|
NB |
WinGo/Agent.BT |
RevSocks omgekeerde tunnel. |
39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6
|
NB |
schoon |
ProcDump, een opdrachtregelhulpprogramma voor het monitoren van applicaties en het genereren van crashdumps. |
A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A
|
NB |
Generik.EYWYQYF |
Mimikatz. |
5D60C8507AC9B840A13FFDF19E3315A3E14DE66A
|
NB |
WinGo/Riskware.Gost.D |
GO Eenvoudige tunnel (GOST). |
50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617
|
NB |
WinGo/HackTool.Chisel.A |
Beitel omgekeerde tunnel. |
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252
|
NB |
NB |
Host2IP-detectietool. |
519CA93366F1B1D71052C6CE140F5C80CE885181
|
NB |
Win64/Packed.Enigma.BV |
RevSocks-tunnel, beschermd met de proefversie van de Enigma Protector-softwarebescherming. |
4709827C7A95012AB970BF651ED5183083366C79
|
NB |
NB |
Plink (PuTTY Link), een hulpprogramma voor verbinding via de opdrachtregel. |
99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8
|
NB |
Win32/PSWTool.WebBrowserPassView.I |
Een wachtwoordhersteltool voor wachtwoorden die zijn opgeslagen in webbrowsers. |
E52AA118A59502790A4DD6625854BD93C0DEAF27
|
NB |
MSIL/HackTool.SQLDump.A |
Een hulpmiddel voor interactie met en het extraheren van gegevens uit SQL-databases. |
Bestandspaden
Het volgende is een lijst met paden waar de achterdeur van de sponsor werd ingezet op machines die het slachtoffer zijn geworden.
%SYSTEMDRIVE%inetpubwwwrootaspnet_client
%USERPROFILE%AppDataLocalTemp-bestand
%USERPROFILE%AppDataLocalTemp2low
% USERPROFILE% Desktop
%USERPROFILE%Downloadsa
%WINDIR%
%WINDIR%INFMSExchange-leverings-DSN
%WINDIR%Taken
%WINDIR%Temp%WINDIR%Tempcrashpad1Bestanden
Netwerk
IP
leverancier
Eerst gezien
Laatst gezien
Details
162.55.137[.]20
Hetzner Online GMBH
2021-06-14
2021-06-15
PowerLess C&C.
37.120.222[.]168
M247LTD
2021-11-28
2021-12-12
Sponsor C&C.
198.144.189[.]74
Kleurkruising
2021-11-29
2021-11-29
Downloadsite voor ondersteuningstools.
5.255.97[.]172
De Infrastructuur Groep BV
2021-09-05
2021-10-28
Downloadsite voor ondersteuningstools.
IP
leverancier
Eerst gezien
Laatst gezien
Details
162.55.137[.]20
Hetzner Online GMBH
2021-06-14
2021-06-15
PowerLess C&C.
37.120.222[.]168
M247LTD
2021-11-28
2021-12-12
Sponsor C&C.
198.144.189[.]74
Kleurkruising
2021-11-29
2021-11-29
Downloadsite voor ondersteuningstools.
5.255.97[.]172
De Infrastructuur Groep BV
2021-09-05
2021-10-28
Downloadsite voor ondersteuningstools.
Deze tafel is gemaakt met behulp van versie 13 van het MITRE ATT&CK raamwerk.
Tactiek |
ID |
Naam |
Omschrijving |
verkenning |
Actief scannen: scannen op kwetsbaarheden |
Ballistic Bobcat scant of er kwetsbare versies van Microsoft Exchange Servers kunnen worden misbruikt. |
|
Ontwikkeling van hulpbronnen |
Ontwikkelmogelijkheden: Malware |
Ballistic Bobcat ontwierp en codeerde de achterdeur van de sponsor. |
|
Mogelijkheden verkrijgen: Tool |
Ballistic Bobcat maakt gebruik van verschillende open source tools als onderdeel van de Sponsoring Access-campagne. |
||
Eerste toegang |
Openbare toepassing gebruiken |
Ballistische Bobcat-doelen blootgesteld aan internet Microsoft Exchange-servers. |
|
Uitvoering |
Opdracht- en scriptinterpreter: Windows Command Shell |
De Sponsor-achterdeur gebruikt de Windows-opdrachtshell om opdrachten uit te voeren op het systeem van het slachtoffer. |
|
Systeemservices: service-uitvoering |
De Sponsor-backdoor stelt zichzelf op als een service en initieert zijn primaire functies nadat de service is uitgevoerd. |
||
Volharding |
Systeemproces maken of wijzigen: Windows-service |
Sponsor handhaaft zijn doorzettingsvermogen door een service te creëren met automatisch opstarten die zijn primaire functies in een lus uitvoert. |
|
Privilege-escalatie |
Geldige accounts: lokale accounts |
Ballistische Bobcat-operators proberen de inloggegevens van geldige gebruikers te stelen nadat ze eerst een systeem hebben misbruikt voordat ze de achterdeur van de Sponsor hebben ingezet. |
|
verdediging ontduiking |
Deobfuscate/decodeer bestanden of informatie |
Sponsor slaat informatie op schijf op die gecodeerd en onleesbaar is, en maakt deze tijdens runtime onleesbaar. |
|
Verduisterde bestanden of informatie |
Configuratiebestanden die de achterdeur van de Sponsor op schijf nodig heeft, zijn gecodeerd en onleesbaar. |
||
Geldige accounts: lokale accounts |
Sponsor wordt uitgevoerd met beheerdersrechten, waarschijnlijk met behulp van inloggegevens die operators op schijf hebben gevonden; Samen met de onschadelijke naamgevingsconventies van Ballistic Bobcat zorgt dit ervoor dat Sponsor opgaat in de achtergrond. |
||
Toegang tot inloggegevens |
Inloggegevens uit wachtwoordopslag: inloggegevens uit webbrowsers |
Ballistische Bobcat-operators gebruiken open-sourcetools om inloggegevens te stelen uit wachtwoordopslag in webbrowsers. |
|
De reis van mijn leven |
Systeemdetectie op afstand |
Ballistic Bobcat gebruikt de Host2IP-tool, die eerder door Agrius werd gebruikt, om andere systemen binnen bereikbare netwerken te ontdekken en hun hostnamen en IP-adressen met elkaar in verband te brengen. |
|
Command and Control |
Gegevensverduistering |
De achterdeur van de Sponsor verbergt gegevens voordat deze naar de C&C-server worden verzonden. |
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. Automotive / EV's, carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- ChartPrime. Verhoog uw handelsspel met ChartPrime. Toegang hier.
- BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
- Bron: https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/
- : heeft
- :is
- :niet
- :waar
- $UP
- 09
- 1
- 10
- 11
- 12
- 13
- 14
- 15%
- 150
- 16
- 179
- 20
- 2021
- 2022
- 23
- 24
- 25
- 31
- 39
- 51
- 60
- 7
- 8
- 80
- 9
- a
- in staat
- Over
- boven
- AC
- toegang
- Volgens
- accounts
- actieve
- activisten
- activiteit
- daadwerkelijk
- toegevoegd
- toevoeging
- Extra
- adres
- adressen
- beheerder
- vergevorderd
- Na
- tegen
- Agent
- aka
- Alarm
- algoritme
- Alles
- toestaat
- langs
- al
- ook
- altijd
- an
- geanalyseerd
- en
- Nog een
- elke
- api
- APIs
- gebruiken
- schijnbaar
- verschijnen
- komt naar voren
- Aanvraag
- toepassingen
- nadering
- apps
- APT
- Arabisch
- Arabische Emiraten
- Arabisch
- bouwkundig
- ZIJN
- argument
- argumenten
- AS
- vragen
- At
- proberen
- pogingen
- Augustus
- Automatisch
- automotive
- bewust
- terug
- achterdeur
- Backdoors
- achtergrond
- gebaseerde
- Accu
- BE
- werd
- omdat
- geweest
- vaardigheden
- gedrag
- geloofd wie en wat je bent
- BEST
- Betere
- tussen
- Blend
- zowel
- Brazilië
- browsers
- bebouwd
- maar
- by
- C + +
- Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
- Campagne
- Campagnes
- CAN
- mogelijkheden
- verzorging
- geval
- Centreren
- Wijzigingen
- controle
- controleren
- uitgekozen
- burgerlijk
- duidelijk
- code
- gecodeerde
- verzamelen
- Kolom
- COM
- commercieel
- Communicatie
- Communicatie
- Bedrijven
- afstand
- vergelijking
- compromis
- Aangetast
- computer
- uitvoeren
- Configuratie
- BEVESTIGD
- verwarrend
- gekoppeld blijven
- versterken
- contact
- bevat
- inhoud
- blijft
- onder controle te houden
- Conventie
- coöperatieve
- kon
- landen
- Land
- bedekt
- Neerstorten
- creëert
- Wij creëren
- Geloofsbrieven
- Actueel
- gewoonte
- klant
- klantervaring
- gegevens
- Database
- databanken
- dagen
- dc
- December
- Standaard
- verdedigers
- gedefinieerd
- leveren
- levering
- ingezet
- het inzetten
- inzet
- beschrijven
- beschreven
- Design
- ontworpen
- gegevens
- gedetecteerd
- Opsporing
- Bepalen
- bepaalt
- ontwikkelaars
- Ontwikkeling
- systemen
- Diamond
- Onthul Nu
- ontdekt
- ontdekking
- distributie
- diversen
- doet
- domein
- Download
- liet vallen
- duur
- gedurende
- e
- elk
- gemak
- oosten
- Onderwijs
- elektronisch
- Elektronica
- emiraten
- loondienst
- versleutelde
- encryptie
- toegewijd
- bezig
- Engineering
- Motoren
- Raadsel
- Enterprise
- entiteiten
- milieu
- fout
- fouten
- ESET-onderzoek
- duidelijk
- Onderzoeken
- voorbeeld
- uitwisseling
- uitvoeren
- uitgevoerd
- Voert uit
- uitvoeren
- uitvoering
- exits
- ervaring
- Exploiteren
- Exploited
- uitbuiten
- Mislukt
- Storing
- tamelijk
- weinig
- veld-
- Velden
- Figuur
- Dien in
- Bestanden
- financieel
- financiële diensten
- financiële dienstverlener
- Stevig
- Voornaam*
- volgend
- eten
- Voor
- formaat
- gevonden
- vier
- oppompen van
- vol
- geheel
- functie
- functies
- Krijgen
- verzameld
- gegenereerde
- het genereren van
- generatie
- geografisch
- krijgen
- gegeven
- Globaal
- Go
- Overheid
- subsidies
- groot
- Groep
- Helft
- hachee
- gehashte
- Hebben
- Gezondheid
- ziektekostenverzekering
- gezondheidszorg
- hier
- Verbergen
- gastheer
- Echter
- HTML
- http
- HTTPS
- menselijk
- rechten van de mens
- i
- ID
- geïdentificeerd
- identificeren
- if
- beeld
- het verbeteren van
- in
- Anders
- inclusief
- Inclusief
- aangeven
- geeft aan
- indicatoren
- informatie
- Infrastructuur
- eerste
- eerste
- ingewijden
- vragen
- binnen
- verzekering
- Intelligentie
- interactie
- interessant
- inwendig
- in
- geïntroduceerd
- investering
- IP
- IP-adres
- IP adressen
- Israël
- IT
- HAAR
- zelf
- Journalisten
- houden
- sleutel
- toetsen
- blijven
- bekend
- Gebrek
- Achternaam*
- later
- Wet
- Legkippen
- minst
- Lengte
- Waarschijnlijk
- Beperkt
- Lijn
- LINK
- Lijst
- opgesomd
- lokaal
- gelegen
- langer
- op zoek
- LOOKS
- Machines
- gemaakt
- onderhoudt
- onderhoud
- Meerderheid
- beheert
- productie
- veel
- markt
- Match
- Mei..
- MD5
- gemiddelde
- middel
- Media
- medisch
- medische zorg
- medisch onderzoek
- vermeld
- Bericht
- nauwkeurig
- Microsoft
- Midden
- Midden-Oosten
- macht
- denken
- minuten
- vermist
- model
- bescheiden
- wijzigingen
- wijzigen
- modulaire
- Moments
- Grensverkeer
- meest
- multinationaal
- meervoudig
- naam
- Genoemd
- naamgeving
- netwerk
- netwerken
- nooit
- New
- Nieuwste
- volgende
- geen
- knooppunt
- Geen
- in het bijzonder
- roman
- November
- nu
- aantal
- nummers
- verkrijgen
- verkregen
- Voor de hand liggend
- of
- Aanbod
- vaak
- on
- On The Spot
- EEN
- degenen
- online.
- Slechts
- open
- open source
- besturen
- exploiteert
- operatie
- operator
- exploitanten
- kansen
- gekant tegen
- or
- bestellen
- organisatie
- organisatorische
- organisaties
- origineel
- Overige
- onze
- uit
- Outlet
- geschetst
- uitgang
- over
- het te bezitten.
- P&E
- verpakt
- pagina
- pandemisch
- deel
- onderdelen
- voorbij
- Wachtwoord
- wachtwoorden
- verleden
- Patch
- Patronen
- volharding
- Personeel
- farmaceutische
- Fysiek
- Eenvoudig
- Plato
- Plato gegevensintelligentie
- PlatoData
- dan
- punt
- Oogpunt
- punten
- deel
- mogelijk
- potentieel
- mogelijk
- energie
- presenteren
- vorig
- die eerder
- primair
- privaat
- voorrechten
- waarschijnlijk
- verwerking
- Producten
- Programma
- progressie
- beschermd
- bescherming
- mits
- leverancier
- biedt
- gepubliceerde
- trekken
- geduwd
- R
- willekeurige
- Gerandomiseerd
- liever
- het bereiken van
- ontvangen
- ontvangen
- ontvangt
- na een training
- verwezen
- met betrekking tot
- registreren
- register
- verwant
- blijven
- reparatie
- HERHAALDELIJK
- vervangen
- vervangen
- verslag
- gemeld
- Rapporten
- vertegenwoordiging
- te vragen
- verzoeken
- vereisen
- vereist
- onderzoek
- onderzoekers
- resultaat
- kleinhandelaar
- omkeren
- revisies
- rechten
- royalty's
- lopen
- lopend
- dezelfde
- zagen
- aftasten
- het scannen
- seconden
- zien
- sturen
- verzending
- verzendt
- verzonden
- September
- Servers
- service
- Diensten
- dienstverlenend bedrijf
- Sets
- verscheidene
- Shell
- tonen
- getoond
- Shows
- kant
- Zicht
- aanzienlijke
- gelijk
- Eenvoudig
- website
- Huid
- slaap
- So
- Software
- Oplossingen
- sommige
- bron
- specialiseert
- gespecialiseerd
- gespecificeerd
- sponsor
- sponsoren
- Spot
- Stadium
- standaard
- starts
- startup
- Staten
- Stappen
- shop
- opgeslagen
- winkels
- slaan
- Draad
- structuur
- volgend
- Hierop volgend
- succes
- Met goed gevolg
- geleverde
- leverancier
- ondersteuning
- Ondersteuning
- system
- Systems
- tafel
- Nemen
- ingenomen
- doelwit
- doelgerichte
- targeting
- doelen
- Technologie
- telecommunicatie
- tien
- termijn
- tekst
- neem contact
- dat
- De
- de informatie
- de wereld
- hun
- harte
- Er.
- daarbij
- Deze
- ze
- Derde
- dit
- die
- bedreiging
- overal
- niet de tijd of
- tijdlijn
- TM
- naar
- samen
- tools
- tools
- Totaal
- spoor
- behandeling
- proces
- tunnel
- BEURT
- twee
- niet in staat
- United
- Verenigde Arabische
- Verenigde Arabische Emiraten
- Verenigde Staten
- tot
- bijwerken
- bijgewerkt
- updates
- op
- URL
- us
- .
- gebruikt
- gebruikers
- toepassingen
- gebruik
- utility
- gebruikt
- Gebruik makend
- v1
- waarde
- Values
- variëteit
- divers
- versie
- versies
- verticals
- Slachtoffer
- slachtoffers
- Bekijk
- Bezoek
- kwetsbaarheden
- kwetsbaarheid
- Kwetsbaar
- was
- we
- web
- web browsers
- GOED
- waren
- Wat
- wanneer
- terwijl
- of
- welke
- en
- breed
- Breedte
- venster
- ruiten
- Met
- binnen
- zonder
- werkzaam
- wereld
- World Health Organization
- zou
- schrijven
- geschreven
- jaar
- ja
- zephyrnet
- nul