Sponsor med batch-arkiverte værhår: Ballistic Bobcats skanning og slag bakdør

ESET-forskere oppdaget en ballistisk Bobcat-kampanje rettet mot ulike enheter i Brasil, Israel og De forente arabiske emirater, ved å bruke en ny bakdør vi har kalt sponsor.

Vi oppdaget sponsoren etter at vi analyserte en interessant prøve vi oppdaget på et offers system i Israel i mai 2022 og omskrev offeret etter land. Ved undersøkelse ble det klart for oss at prøven var en ny bakdør utplassert av Ballistic Bobcat APT-gruppen.

Ballistic Bobcat, tidligere sporet av ESET Research som APT35/APT42 (aka Charming Kitten, TA453 eller PHOSPHORUS), er en mistenkt Iran-justert avansert vedvarende trusselgruppe som retter seg mot utdannings-, regjerings- og helseorganisasjoner, samt menneskerettighetsaktivister og journalister. Den er mest aktiv i Israel, Midtøsten og USA. Spesielt under pandemien var den rettet mot COVID-19-relaterte organisasjoner, inkludert Verdens helseorganisasjon og Gilead Pharmaceuticals, og medisinsk forskningspersonell.

Overlapper mellom ballistiske Bobcat-kampanjer og sponsor-bakdørsversjoner viser et ganske tydelig mønster av verktøyutvikling og -distribusjon, med smalt målrettede kampanjer, hver av begrenset varighet. Vi oppdaget deretter fire andre versjoner av sponsorens bakdør. Totalt så vi sponsor utplassert til minst 34 ofre i Brasil, Israel og De forente arabiske emirater, som beskrevet i  REF _Ref143075975 h Figur 1
.

Hovedpunkter i denne bloggposten:

• Vi oppdaget en ny bakdør utplassert av Ballistic Bobcat som vi senere kalte sponsor.
• Ballistic Bobcat distribuerte den nye bakdøren i september 2021, mens den avsluttet kampanjen dokumentert i CISA Alert AA21-321A og PowerLess-kampanjen.
• Sponsorens bakdør bruker konfigurasjonsfiler som er lagret på disken. Disse filene er diskret distribuert av batch-filer og bevisst utformet for å virke ufarlige, og forsøker derved å unngå oppdagelse ved hjelp av skannemotorer.
• Sponsor ble utplassert til minst 34 ofre i Brasil, Israel og De forente arabiske emirater; vi har kalt denne aktiviteten Sponsing Access-kampanjen.

Innledende tilgang

Ballistic Bobcat oppnådde innledende tilgang ved å utnytte kjente sårbarheter i internetteksponerte Microsoft Exchange-servere ved først å utføre grundige skanninger av systemet eller nettverket for å identifisere potensielle svakheter eller sårbarheter, og deretter målrette og utnytte de identifiserte svakhetene. Gruppen har vært kjent for å engasjere seg i denne oppførselen i noen tid. Imidlertid kan mange av de 34 ofrene identifisert i ESET-telemetri best beskrives som ofre for muligheter i stedet for forhåndsvalgte og undersøkte ofre, ettersom vi mistenker at Ballistic Bobcat var engasjert i den ovenfor beskrevne skanne-og-utnyttingsadferden fordi det ikke var den eneste trusselen. aktør med tilgang til disse systemene. Vi har kalt denne Ballistic Bobcat-aktiviteten ved å bruke sponsorbakdøren til Sponsoring Access-kampanjen.

Sponsorens bakdør bruker konfigurasjonsfiler på disk, droppet av batchfiler, og begge er ufarlige for å omgå skannemotorer. Denne modulære tilnærmingen er en som Ballistic Bobcat har brukt ganske ofte og med beskjeden suksess de siste to og et halvt årene. På kompromitterte systemer fortsetter Ballistic Bobcat også å bruke en rekke åpen kildekodeverktøy, som vi beskriver – sammen med sponsorens bakdør – i dette blogginnlegget.

viktimologi

Et betydelig flertall av de 34 ofrene var lokalisert i Israel, med bare to lokalisert i andre land:

• Brasil, hos et medisinsk kooperativ og helseforsikringsoperatør, og
• De forente arabiske emirater, hos en uidentifisert organisasjon.

 REF _Ref112861418 h Bord 1
beskriver vertikalene, og organisatoriske detaljer, for ofre i Israel.

Bord  SEQ Tabell * ARABISK 1. Vertikale og organisatoriske detaljer for ofre i Israel

Vertikal	Detaljer
Biler	·       Et bilfirma som spesialiserer seg på tilpassede modifikasjoner. ·       Et selskap for reparasjon og vedlikehold av biler.
kommunikasjon	·       En israelsk media.
Ingeniørarbeid	·       Et sivilingeniørfirma. ·       Et miljøingeniørfirma. ·       Et arkitektdesignfirma.
Finansielle tjenester	·       Et finansselskap som spesialiserer seg på investeringsrådgivning. ·       Et selskap som forvalter royalties.
Helsevesen	·       En helsepersonell.
Forsikring	·       Et forsikringsselskap som driver en forsikringsmarkedsplass. ·       Et kommersielt forsikringsselskap.
Law	·       Et firma som spesialiserer seg på medisinsk rett.
produksjon	·       Flere elektronikkprodusenter. ·       Et selskap som produserer metallbaserte kommersielle produkter. ·       Et multinasjonalt teknologiproduksjonsselskap.
Detaljhandel	·       En matforhandler. ·       En multinasjonal diamantforhandler. ·       En forhandler av hudpleieprodukter. ·       En vindusbehandlingsforhandler og installatør. ·       En global leverandør av elektroniske deler. ·       En fysisk adgangskontrollleverandør.
Teknologi	·       Et teknologiselskap for IT-tjenester. ·       En leverandør av IT-løsninger.
Telekommunikasjon	·       Et teleselskap.
Uidentifisert	·       Flere uidentifiserte organisasjoner.

Attribution

I august 2021 ble det israelske offeret ovenfor som driver en forsikringsmarkedsplass angrepet av Ballistic Bobcat med verktøyene CISA rapporterte i november 2021. Indikatorene på kompromiss vi observerte er:

• MicrosoftOutlookUpdateSchedule,
• MicrosoftOutlookUpdateSchedule.xml,
• GoogleChangeManagementog
• GoogleChangeManagement.xml.

Ballistiske Bobcat-verktøy kommuniserte med den samme kommando- og kontrollserveren (C&C) som i CISA-rapporten: 162.55.137[.]20.

Så, i september 2021, mottok det samme offeret neste generasjon ballistiske Bobcat-verktøy: Strømløs bakdør og dets støttende verktøysett. Indikatorene på kompromiss vi observerte var:

• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/dll.dll,
• windowsprocesses.exeog
• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/windowsprocesses.exe.

Den 18 november^th, 2021, implementerte gruppen et annet verktøy (Plink) som ble dekket i CISA-rapporten, som MicrosoftOutLookUpdater.exe. Ti dager senere, 28. november^th, 2021, utplasserte Ballistic Bobcat Merlin agent (agentdelen av en åpen kildekode post-utnyttelse C&C-server og agent skrevet i Go). På disken ble denne Merlin-agenten navngitt googleUpdate.exe, ved å bruke samme navnekonvensjon som beskrevet i CISA-rapporten for å gjemme seg lett synlig.

Merlin-agenten utførte et Meterpreter-omvendt skall som ringte tilbake til en ny C&C-server, 37.120.222[.]168:80. Den 12. desember^th, 2021, droppet det omvendte skallet en batchfil, install.bat, og i løpet av minutter etter å ha utført batchfilen, presset Ballistic Bobcat-operatører sin nyeste bakdør, sponsor. Dette skulle vise seg å være den tredje versjonen av bakdøren.

Teknisk analyse

Innledende tilgang

Vi var i stand til å identifisere et sannsynlig middel for innledende tilgang for 23 av de 34 ofrene som vi observerte i ESET-telemetri. I likhet med det som ble rapportert i Maktesløs og CISA rapporterer at Ballistic Bobcat sannsynligvis utnyttet en kjent sårbarhet, CVE-2021-26855, i Microsoft Exchange-servere for å få fotfeste på disse systemene.

For 16 av de 34 ofrene ser det ut til at Ballistic Bobcat ikke var den eneste trusselaktøren med tilgang til systemene deres. Dette kan tyde på, sammen med den store variasjonen av ofre og den tilsynelatende mangelen på åpenbar intelligensverdi hos noen få ofre, at Ballistic Bobcat engasjerte seg i skanne-og-utnyttingsadferd, i motsetning til en målrettet kampanje mot forhåndsutvalgte ofre.

verktøysett

Open-source verktøy

Ballistic Bobcat brukte en rekke åpen kildekode-verktøy under Sponsing Access-kampanjen. Disse verktøyene og deres funksjoner er oppført i  REF _Ref112861458 h Bord 2
.

Bord  SEQ Tabell * ARABISK 2. Åpen kildekode-verktøy brukt av Ballistic Bobcat

filnavn	Beskrivelse
host2ip.exe	Kart a vertsnavn til en IP-adresse innenfor det lokale nettverket.
CSRSS.EXE	RevSocks, en omvendt tunnelapplikasjon.
mi.exe	Mimikatz, med et originalt filnavn på midongle.exe og fullpakket med Armadillo PE-pakker.
gost.exe	GO Simple Tunnel (GJEST), en tunneleringsapplikasjon skrevet i Go.
meisel.exe	Meisel, en TCP/UDP-tunnel over HTTP som bruker SSH-lag.
csrss_protected.exe	RevSocks tunnel, beskyttet med prøveversjonen av Enigma Protector programvarebeskyttelse.
plink.exe	Plink (PuTTY Link), et kommandolinjetilkoblingsverktøy.
WebBrowserPassView.exe	A verktøy for gjenoppretting av passord for passord lagret i nettlesere.
sqlextractor.exe	A verktøy for å samhandle med og trekke ut data fra SQL-databaser.
procdump64.exe	ProcDumpen  Sysinternals kommandolinjeverktøy for overvåking av applikasjoner og generering av krasjdumper.

Batchfiler

Ballistic Bobcat distribuerte batchfiler til ofrenes systemer øyeblikk før sponsorens bakdør distribuerte. Filstier vi er klar over er:

• C:inetpubwwwrootaspnet_clientInstall.bat
• %USERPROFILE%DesktopInstall.bat
• %WINDOWS%TasksInstall.bat

Dessverre klarte vi ikke å få tak i noen av disse batchfilene. Vi tror imidlertid at de skriver ufarlige konfigurasjonsfiler til disken, som sponsorens bakdør krever for å fungere fullt ut. Disse konfigurasjonsfilnavnene ble hentet fra sponsorens bakdører, men ble aldri samlet inn:

• config.txt
• node.txt
• error.txt
• Avinstaller.bat

Vi tror at batchfilene og konfigurasjonsfilene er en del av den modulære utviklingsprosessen som Ballistic Bobcat har favorisert de siste årene.

Sponsor bakdør

Sponsorbakdører er skrevet i C++ med kompileringstidsstempler og Program Database (PDB)-baner som vist i  REF _Ref112861527 h Bord 3
. En merknad om versjonsnumre: kolonnen Versjon representerer versjonen som vi sporer internt basert på den lineære progresjonen til sponsorbakdører der endringer gjøres fra en versjon til den neste. De Intern versjon kolonnen inneholder versjonsnumrene som er observert i hver sponsorbakdør og er inkludert for enkel sammenligning når du undersøker disse og andre potensielle sponsoreksempler.

Bord 3. Tidsstempler for sponsorsamling og PDB-er

Versjon	Intern versjon	Tidsstempel for kompilering	PDB
1	1.0.0	2021-08-29 09:12:51	D:TempBD_Plus_SrvcReleaseBD_Plus_Srvc.pdb
2	1.0.0	2021-10-09 12:39:15	D:TempSponsorReleaseSponsor.pdb
3	1.4.0	2021-11-24 11:51:55	D:TempSponsorReleaseSponsor.pdb
4	2.1.1	2022-02-19 13:12:07	D:TempSponsorReleaseSponsor.pdb
5	1.2.3.0	2022-06-19 14:14:13	D:TempAluminaReleaseAlumina.pdb

Den første kjøringen av sponsor krever kjøretidsargumentet installere, uten hvilken sponsor elegant avslutter, sannsynligvis en enkel anti-emulering/anti-sandbox-teknikk. Hvis dette argumentet er bestått, oppretter sponsor en tjeneste som kalles Systemnettverk (i v1) Og Oppdater (i alle de andre versjonene). Det setter tjenestens Oppstartstype til Automatisk, og setter den til å kjøre sin egen sponsorprosess, og gir den full tilgang. Deretter starter tjenesten.

Sponsor, som nå kjører som en tjeneste, forsøker å åpne de nevnte konfigurasjonsfilene som tidligere er plassert på disken. Den ser etter config.txt og node.txt, begge i gjeldende arbeidskatalog. Hvis den første mangler, setter sponsor tjenesten til stoppet og går grasiøst ut.

Bakdørskonfigurasjon

Sponsorens konfigurasjon, lagret i config.txt, inneholder to felt:

• Et oppdateringsintervall, i sekunder, for periodisk å kontakte C&C-serveren for kommandoer.
• En liste over C&C-servere, referert til som releer i sponsorens binære filer.

C&C-serverne lagres kryptert (RC4), og dekrypteringsnøkkelen er til stede i den første linjen av config.txt. Hvert av feltene, inkludert dekrypteringsnøkkelen, har formatet vist i  REF _Ref142647636 h Figur 3
.

Disse underfeltene er:

• config_start: angir lengden på config_name, hvis tilstede, eller null, hvis ikke. Brukes av bakdøren for å vite hvor config_data starter.
• config_len: lengden av config_data.
• config_name: valgfritt, inneholder et navn gitt til konfigurasjonsfeltet.
• config_data: selve konfigurasjonen, kryptert (når det gjelder C&C-servere) eller ikke (alle de andre feltene).

 REF _Ref142648473 h Figur 4
viser et eksempel med fargekodet innhold av en ev config.txt fil. Merk at dette ikke er en faktisk fil vi observerte, men et oppdiktet eksempel.

De to siste feltene i config.txt er kryptert med RC4, ved å bruke strengrepresentasjonen av SHA-256-hashen til den angitte dekrypteringsnøkkelen, som nøkkelen for å kryptere dataene. Vi ser at de krypterte bytene lagres hekskodet som ASCII-tekst.

Vertsinformasjonsinnhenting

Sponsor samler informasjon om verten den kjører på, rapporterer all innsamlet informasjon til C&C-serveren og mottar en node-ID som skrives til node.txt.  REF _Ref142653641 h Bord 4
REF _Ref112861575 h
 viser nøkler og verdier i Windows-registret som sponsor bruker for å få informasjonen, og gir et eksempel på dataene som samles inn.

Tabell 4. Informasjon innhentet av sponsor

Registernøkkel	Verdi	Eksempel
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters	vertsnavn	D-835MK12
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTimeZoneInformation	TimeZoneKeyName	Israel standardtid
HKEY_USERS.DEFAULTKontrollpanelInternational	Lokalt navn	han-IL
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemBIOS	BaseBoardProdukt	10NX0010IL
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessor	Prosessornavnstreng	Intel(R) Core(TM) i7-8565U CPU @ 1.80GHz
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion	Produktnavn	Windows 10 EnterpriseN
	Gjeldende versjon	6.3
	CurrentBuildNumber	19044
	Installasjonstype	kunde

Sponsor samler også vertens Windows-domene ved å bruke følgende WMIC kommando:

wmic datasystem få domene

Til slutt, sponsor bruker Windows APIer for å samle inn det nåværende brukernavnet (GetUserNameW), avgjør om den nåværende sponsorprosessen kjører som en 32- eller 64-bits applikasjon (GetCurrentProcess, deretter IsWow64Process(CurrentProcess)), og bestemmer om systemet kjører på batteristrøm eller er koblet til en AC- eller DC-strømkilde (GetSystemPowerStatus).

En raritet med hensyn til 32- eller 64-biters applikasjonssjekk er at alle observerte prøver av sponsor var 32-biters. Dette kan bety at noen av de neste trinnene krever denne informasjonen.

Den innsamlede informasjonen sendes i en base64-kodet melding som, før koding, starter med r og har formatet vist i  REF _Ref142655224 h Figur 5
.

Informasjonen er kryptert med RC4, og krypteringsnøkkelen er et tilfeldig tall generert på stedet. Nøkkelen hashes med MD5-algoritmen, ikke SHA-256 som tidligere nevnt. Dette er tilfellet for all kommunikasjon der sponsor må sende krypterte data.

C&C-serveren svarer med et nummer som brukes til å identifisere den utsatte datamaskinen i senere kommunikasjon, som er skrevet til node.txt. Merk at C&C-serveren er tilfeldig valgt fra listen når r melding sendes, og samme server brukes i all etterfølgende kommunikasjon.

Kommandobehandlingsløkke

Sponsor ber om kommandoer i en løkke, sover i henhold til intervallet definert i config.txt. Trinnene er:

1. Send en chk=Test melding gjentatte ganger, til C&C-serveren svarer Ok.
2. Send en c (IS_CMD_AVAIL) melding til C&C-serveren, og motta en operatørkommando.
3. Behandle kommandoen.
   • Hvis det er utdata som skal sendes til C&C-serveren, send en a (ACK) melding, inkludert utdata (kryptert), eller
   • Hvis utførelse mislyktes, send en f (FEILET) beskjed. Feilmeldingen sendes ikke.
4. Sov.

De c melding sendes for å be om en kommando som skal utføres, og har formatet (før base64-koding) vist i  REF _Ref142658017 h Figur 6
.

De kryptert_ingen feltet i figuren er resultatet av kryptering av den hardkodede strengen none med RC4. Nøkkelen for kryptering er MD5-hashen til node_id.

URL-en som brukes til å kontakte C&C-serveren er bygget som: http://<IP_or_domain>:80. Dette kan tyde på det 37.120.222[.]168:80 er den eneste C&C-serveren som ble brukt gjennom sponsingtilgang-kampanjen, ettersom det var den eneste IP-adressen vi observerte at offermaskiner nådde ut til på port 80.

Operatørkommandoer

Operatørkommandoer er avgrenset i  REF _Ref112861551 h Bord 5
og vises i den rekkefølgen de finnes i koden. Kommunikasjon med C&C-serveren skjer over port 80.

Tabell 5. Operatørkommandoer og beskrivelser

Kommando	Beskrivelse
p	Sender prosess-ID for den løpende sponsorprosessen.
e	Utfører en kommando, som spesifisert i et påfølgende tilleggsargument, på sponsorverten ved å bruke følgende streng: c:windowssystem32cmd.exe /c    > result.txt 2>&1 Resultatene lagres i Result.txt i gjeldende arbeidskatalog. Sender en a melding med den krypterte utgangen til C&C-serveren hvis den er utført. Hvis mislykket, sender en f melding (uten å spesifisere feilen).
d	Mottar en fil fra C&C-serveren og kjører den. Denne kommandoen har mange argumenter: målfilnavnet å skrive filen inn i, MD5-hashen til filen, en katalog å skrive filen til (eller gjeldende arbeidskatalog, som standard), en boolsk for å indikere om filen skal kjøres eller ikke, og innholdet i den kjørbare filen, base64-kodet. Hvis ingen feil oppstår, an a melding sendes til C&C-serveren med Last opp og kjør filen vellykket or Last opp filen uten å kjøre (kryptert). Hvis det oppstår feil under kjøring av filen, an f melding er sendt. Hvis MD5-hashen til innholdet i filen ikke samsvarer med den angitte hashen, an e (CRC_ERROR) melding sendes til C&C-serveren (inkludert bare krypteringsnøkkelen som brukes, og ingen annen informasjon). Bruken av begrepet Last opp her er potensielt forvirrende ettersom Ballistic Bobcat-operatørene og koderne tar synspunktet fra serversiden, mens mange kan se dette som en nedlasting basert på trekking av filen (dvs. laster den ned) av systemet som bruker sponsorens bakdør.
u	Forsøk på å laste ned en fil ved hjelp av URLDownloadFileW Windows API og kjør den. Suksess sender en a melding med krypteringsnøkkelen som brukes, og ingen annen informasjon. Feil sender en f melding med lignende struktur.
s	Utfører en fil som allerede er på disken, Avinstaller.bat i gjeldende arbeidskatalog, som mest sannsynlig inneholder kommandoer for å slette filer relatert til bakdøren.
n	Denne kommandoen kan eksplisitt leveres av en operatør eller kan utledes av sponsor som kommandoen som skal utføres i fravær av noen annen kommando. Referert til innen Sponsor som NO_CMD, utfører den en randomisert hvilemodus før den sjekker inn igjen med C&C-serveren.
b	Oppdaterer listen over C&C-er som er lagret i config.txt i gjeldende arbeidskatalog. De nye C&C-adressene erstatter de tidligere; de er ikke lagt til listen. Den sender en a melding med Nye releer er erstattet (kryptert) til C&C-serveren hvis oppdateringen er vellykket.
i	Oppdaterer det forhåndsbestemte innsjekkingsintervallet spesifisert i config.txt. Den sender en a melding med Nytt intervall erstattet til C&C-serveren hvis den er vellykket oppdatert.

Oppdateringer til sponsor

Ballistiske Bobcat-kodere gjorde koderevisjoner mellom Sponsor v1 og v2. De to viktigste endringene i sistnevnte er:

• Optimalisering av kode hvor flere lengre funksjoner ble minimert til funksjoner og underfunksjoner, og
• Forkle sponsor som et oppdateringsprogram ved å inkludere følgende melding i tjenestekonfigurasjonen:

Appoppdateringer er flotte for både appbrukere og apper – oppdateringer betyr at utviklere alltid jobber med å forbedre appen, med tanke på en bedre kundeopplevelse med hver oppdatering.

Nettverksinfrastruktur

I tillegg til piggybacking på C&C-infrastrukturen som ble brukt i PowerLess-kampanjen, introduserte Ballistic Bobcat også en ny C&C-server. Gruppen brukte også flere IP-er for å lagre og levere støtteverktøy under Sponsing Access-kampanjen. Vi har bekreftet at ingen av disse IP-ene er i drift for øyeblikket.

konklusjonen

Ballistic Bobcat fortsetter å operere på en skanne-og-utnytt-modell, på jakt etter mulighetsmål med uopprettede sårbarheter i internetteksponerte Microsoft Exchange-servere. Gruppen fortsetter å bruke et mangfoldig åpen kildekodeverktøy supplert med flere tilpassede applikasjoner, inkludert sponsorbakdøren. Forsvarere vil være lurt å lappe alle internett-eksponerte enheter og være årvåkne for nye applikasjoner som dukker opp i deres organisasjoner.

For eventuelle spørsmål om forskningen vår publisert på WeLiveSecurity, vennligst kontakt oss på threatintel@eset.com.
ESET Research tilbyr private APT-etterretningsrapporter og datafeeder. For eventuelle spørsmål om denne tjenesten, besøk ESET Threat Intelligence side.

IoCs

Filer

SHA-1	filnavn	Gjenkjenning	Beskrivelse
098B9A6CE722311553E1D8AC5849BA1DC5834C52	N / A	Win32/Agent.UXG	Ballistisk Bobcat-bakdør, sponsor (v1).
5AEE3C957056A8640041ABC108D0B8A3D7A02EBD	N / A	Win32/Agent.UXG	Ballistisk Bobcat-bakdør, sponsor (v2).
764EB6CA3752576C182FC19CFF3E86C38DD51475	N / A	Win32/Agent.UXG	Ballistisk Bobcat-bakdør, sponsor (v3).
2F3EDA9D788A35F4C467B63860E73C3B010529CC	N / A	Win32/Agent.UXG	Ballistisk Bobcat-bakdør, sponsor (v4).
E443DC53284537513C00818392E569C79328F56F	N / A	Win32/Agent.UXG	Ballistic Bobcat-bakdør, sponsor (v5, aka Alumina).
C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61	N / A	WinGo/Agent.BT	RevSocks omvendt tunnel.
39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6	N / A	ren	ProcDump, et kommandolinjeverktøy for å overvåke applikasjoner og generere krasjdumper.
A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A	N / A	Generik.EYWYQYF	Mimikatz.
5D60C8507AC9B840A13FFDF19E3315A3E14DE66A	N / A	WinGo/Riskware.Gost.D	GO Simple Tunnel (GOST).
50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617	N / A	WinGo/HackTool.Chisel.A	Meisel revers tunnel.
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252	N / A	N / A	Host2IP oppdagelsesverktøy.
519CA93366F1B1D71052C6CE140F5C80CE885181	N / A	Win64/Packed.Enigma.BV	RevSocks-tunnel, beskyttet med prøveversjonen av programvarebeskyttelsen Enigma Protector.
4709827C7A95012AB970BF651ED5183083366C79	N / A	N / A	Plink (PuTTY Link), et kommandolinjetilkoblingsverktøy.
99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8	N / A	Win32/PSWTool.WebBrowserPassView.I	Et passordgjenopprettingsverktøy for passord lagret i nettlesere.
E52AA118A59502790A4DD6625854BD93C0DEAF27	N / A	MSIL/HackTool.SQLDump.A	Et verktøy for å samhandle med og trekke ut data fra SQL-databaser.

 

Filbaner

Følgende er en liste over stier der sponsorens bakdør ble utplassert på utsatte maskiner.

%SYSTEMDRIVE%inetpubwwwrotaspnet_client

%USERPROFILE%AppDataLocalTemp-fil

%USERPROFILE%AppDataLocalTemp2low

%USERPROFILE%Desktop

%USERPROFILE%Last ned en

%WINDIR%

%WINDIR%INFMSExchange Delivery DSN

%WINDIR%Oppgaver

%WINDIR%Temp%WINDIR%Tempcrashpad1Filer

Network

IP	Provider	Først sett	Sist sett	Detaljer
162.55.137[.]20	Hetzner Online GMBH	2021-06-14	2021-06-15	Powerless C&C.
37.120.222[.]168	M247 LTD	2021-11-28	2021-12-12	Sponsor C&C.
198.144.189[.]74	Colocrossing	2021-11-29	2021-11-29	Nettsted for nedlasting av støtteverktøy.
5.255.97[.]172	The Infrastructure Group BV	2021-09-05	2021-10-28	Nettsted for nedlasting av støtteverktøy.

Dette bordet ble bygget vha versjon 13 av MITRE ATT&CK-rammeverket.

taktikk	ID	Navn	Beskrivelse
Rekognosering	T1595	Aktiv skanning: Sårbarhetsskanning	Ballistic Bobcat skanner etter sårbare versjoner av Microsoft Exchange-servere for å utnytte.
Ressursutvikling	T1587.001	Utvikle evner: Skadelig programvare	Ballistic Bobcat designet og kodet sponsorens bakdør.
	T1588.002	Skaff evner: Verktøy	Ballistic Bobcat bruker forskjellige åpen kildekode-verktøy som en del av sponsingtilgangskampanjen.
Innledende tilgang	T1190	Utnytt offentlig-vendt applikasjon	Ballistisk Bobcat retter seg mot internetteksponerte  Microsoft Exchange-servere.
Gjennomføring	T1059.003	Kommando- og skripttolk: Windows Command Shell	Sponsorens bakdør bruker Windows-kommandoskallet til å utføre kommandoer på offerets system.
	T1569.002	Systemtjenester: Tjenesteutførelse	Sponsorens bakdør setter seg selv som en tjeneste og starter sine primære funksjoner etter at tjenesten er utført.
Utholdenhet	T1543.003	Opprett eller endre systemprosess: Windows-tjeneste	Sponsor opprettholder utholdenhet ved å lage en tjeneste med automatisk oppstart som utfører sine primære funksjoner i en løkke.
Opptrapping av privilegier	T1078.003	Gyldige kontoer: Lokale kontoer	Ballistiske Bobcat-operatører forsøker å stjele legitimasjon til gyldige brukere etter å ha utnyttet et system i utgangspunktet før de distribuerer sponsorens bakdør.
Forsvarsunndragelse	T1140	Deobfuscate / Decode filer eller informasjon	Sponsor lagrer informasjon på disk som er kryptert og tilsløret, og fjerner den under kjøring.
	T1027	Uklare filer eller informasjon	Konfigurasjonsfiler som sponsorens bakdør krever på disken er kryptert og tilsløret.
	T1078.003	Gyldige kontoer: Lokale kontoer	Sponsor utføres med administratorrettigheter, sannsynligvis ved å bruke legitimasjon som operatørene fant på disken; sammen med Ballistic Bobcats ufarlige navnekonvensjoner, lar dette sponsor gli inn i bakgrunnen.
Legitimasjonstilgang	T1555.003	Legitimasjon fra passordbutikker: Legitimasjon fra nettlesere	Ballistiske Bobcat-operatører bruker åpen kildekode-verktøy for å stjele legitimasjon fra passordbutikker i nettlesere.
Discovery	T1018	Ekstern systemoppdagelse	Ballistic Bobcat bruker Host2IP-verktøyet, tidligere brukt av Agrius, for å oppdage andre systemer innenfor tilgjengelige nettverk og korrelere deres vertsnavn og IP-adresser.
Command and Control	T1001	Dataobfuskasjon	Sponsorens bakdør skjuler data før de sendes til C&C-serveren.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Bil / elbiler, Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• ChartPrime. Hev handelsspillet ditt med ChartPrime. Tilgang her.
• BlockOffsets. Modernisering av eierskap for miljøkompensasjon. Tilgang her.
• kilde: https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/