Patrocinador com bigodes arquivados em lote: varredura do Ballistic Bobcat e ataque backdoor

Os pesquisadores da ESET descobriram uma campanha Ballistic Bobcat visando diversas entidades no Brasil, Israel e Emirados Árabes Unidos, usando um novo backdoor que chamamos de Patrocinador.

Descobrimos o Patrocinador depois de analisarmos uma amostra interessante que detectamos no sistema de uma vítima em Israel em maio de 2022 e avaliarmos o conjunto de vítimas por país. Após o exame, ficou evidente para nós que a amostra era um novo backdoor implantado pelo grupo Ballistic Bobcat APT.

Ballistic Bobcat, anteriormente rastreado pela ESET Research como APT35/APT42 (também conhecido como Charming Kitten, TA453 ou PHOSPHORUS), é um suspeito Grupo avançado de ameaça persistente alinhado com o Irã que visa organizações educacionais, governamentais e de saúde, bem como ativistas de direitos humanos e jornalistas. É mais ativo em Israel, no Oriente Médio e nos Estados Unidos. Notavelmente, durante a pandemia, tinha como alvo organizações relacionadas com a COVID-19, incluindo a Organização Mundial de Saúde e a Gilead Pharmaceuticals, e pessoal de investigação médica.

Sobreposições entre campanhas do Ballistic Bobcat e as versões backdoor do patrocinador mostram um padrão bastante claro de desenvolvimento e implantação de ferramentas, com campanhas direcionadas de forma restrita, cada uma de duração limitada. Posteriormente, descobrimos quatro outras versões do backdoor do Patrocinador. No total, vimos o Patrocinador ser implantado em pelo menos 34 vítimas no Brasil, em Israel e nos Emirados Árabes Unidos, conforme descrito em  REF_Ref143075975h Figura 1
.

Pontos-chave deste blogpost:

• Descobrimos um novo backdoor implantado pelo Ballistic Bobcat que posteriormente chamamos de Patrocinador.
• O Ballistic Bobcat implantou o novo backdoor em setembro de 2021, enquanto encerrava a campanha documentada no Alerta CISA AA21-321A e na campanha PowerLess.
• O backdoor do Patrocinador usa arquivos de configuração armazenados em disco. Esses arquivos são implantados discretamente por arquivos em lote e projetados deliberadamente para parecerem inócuos, tentando assim escapar da detecção pelos mecanismos de verificação.
• O patrocinador foi enviado para pelo menos 34 vítimas no Brasil, Israel e Emirados Árabes Unidos; chamamos esta atividade de campanha de Acesso de Patrocínio.

Acesso inicial

O Ballistic Bobcat obteve acesso inicial explorando vulnerabilidades conhecidas em servidores Microsoft Exchange expostos à Internet, primeiro conduzindo varreduras meticulosas do sistema ou rede para identificar pontos fracos ou vulnerabilidades potenciais e, posteriormente, direcionando e explorando esses pontos fracos identificados. O grupo é conhecido por ter esse comportamento há algum tempo. No entanto, muitas das 34 vítimas identificadas na telemetria da ESET podem ser melhor descritas como vítimas de oportunidade, em vez de vítimas pré-selecionadas e pesquisadas, pois suspeitamos que o Ballistic Bobcat se envolveu no comportamento de varredura e exploração descrito acima porque não era a única ameaça. ator com acesso a esses sistemas. Chamamos esta atividade do Ballistic Bobcat utilizando o backdoor do patrocinador de campanha Sponsoring Access.

O backdoor do Patrocinador usa arquivos de configuração em disco, eliminados por arquivos em lote, e ambos são inócuos para ignorar os mecanismos de verificação. Essa abordagem modular é usada pela Ballistic Bobcat com bastante frequência e com sucesso modesto nos últimos dois anos e meio. Em sistemas comprometidos, o Ballistic Bobcat também continua a usar uma variedade de ferramentas de código aberto, que descrevemos – junto com o backdoor do patrocinador – nesta postagem do blog.

Vitimologia

Uma maioria significativa das 34 vítimas estava localizada em Israel, com apenas duas localizadas em outros países:

• Brasil, em uma cooperativa médica e operadora de planos de saúde, e
• nos Emirados Árabes Unidos, em uma organização não identificada.

 REF_Ref112861418h mesa 1
descreve os setores verticais e os detalhes organizacionais para as vítimas em Israel.

mesa  Tabela SEQ * ÁRABE 1. Detalhes verticais e organizacionais para vítimas em Israel

vertical	Adicionar ao carrinho
Automotivo	·       Uma empresa automotiva especializada em modificações personalizadas. ·       Empresa de reparação e manutenção automotiva.
Comunicações	·       Um meio de comunicação israelense.
Engenharia	·       Uma empresa de engenharia civil. ·       Uma empresa de engenharia ambiental. ·       Um escritório de projetos arquitetônicos.
Serviços financeiros	·       Empresa de serviços financeiros especializada em consultoria de investimentos. ·       Uma empresa que gerencia royalties.
Assistência médica	·       Um prestador de cuidados médicos.
Seguros	·       Uma seguradora que opera um mercado de seguros. ·       Uma seguradora comercial.
Escritórios de	·       Escritório especializado em direito médico.
Indústria​	·       Várias empresas fabricantes de eletrônicos. ·       Uma empresa que fabrica produtos comerciais à base de metal. ·       Uma empresa multinacional de fabricação de tecnologia.
Distribuir	·       Um varejista de alimentos. ·       Um varejista multinacional de diamantes. ·       Revendedor de produtos para a pele. ·       Revendedor e instalador de tratamentos de janelas. ·       Um fornecedor global de peças eletrônicas. ·       Um fornecedor de controle de acesso físico.
Tecnologia	·       Uma empresa de tecnologia de serviços de TI. ·       Um fornecedor de soluções de TI.
Telecomunicações	·       Uma empresa de telecomunicações.
Não identificado	·       Várias organizações não identificadas.

Estratégias de Atribuição

Em agosto de 2021, a vítima israelense acima, que opera um mercado de seguros, foi atacada pelo Ballistic Bobcat com as ferramentas CISA relatado em novembro de 2021. Os indicadores de comprometimento que observamos são:

• MicrosoftOutlookUpdateSchedule,
• MicrosoftOutlookUpdateSchedule.xml,
• Gerenciamento de alterações do Google e
• GoogleChangeManagement.xml.

As ferramentas Ballistic Bobcat se comunicaram com o mesmo servidor de comando e controle (C&C) do relatório CISA: 162.55.137[.]20.

Então, em setembro de 2021, a mesma vítima recebeu a próxima geração de ferramentas Ballistic Bobcat: o Porta dos fundos sem energia e seu conjunto de ferramentas de suporte. Os indicadores de comprometimento que observamos foram:

• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/dll.dll,
• windowsprocesses.exe e
• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/windowsprocesses.exe.

No dia 18 de novembro^th, 2021, o grupo então implantou outra ferramenta (Plink) que foi abordado no relatório CISA, como MicrosoftOutLookUpdater.exe. Dez dias depois, em 28 de novembro^th, 2021, Ballistic Bobcat implantou o Agente Merlim (a parte do agente de um servidor e agente C&C pós-exploração de código aberto escrito em Go). No disco, este agente Merlin foi nomeado googleUpdate.exe, usando a mesma convenção de nomenclatura descrita no relatório da CISA para se esconder à vista de todos.

O agente Merlin executou um shell reverso Meterpreter que retornou para um novo servidor C&C, 37.120.222 [.] 168: 80. Em 12 de dezembro^th, 2021, o shell reverso descartou um arquivo em lote, Install.bat, e poucos minutos após a execução do arquivo em lote, os operadores do Ballistic Bobcat lançaram seu mais novo backdoor, o Sponsor. Esta seria a terceira versão do backdoor.

Análise técnica

Acesso inicial

Conseguimos identificar um provável meio de acesso inicial para 23 das 34 vítimas que observamos na telemetria da ESET. Semelhante ao que foi relatado no Impotente e CISA relatórios, Ballistic Bobcat provavelmente explorou uma vulnerabilidade conhecida, CVE-2021-26855, em servidores Microsoft Exchange para obter uma posição segura nesses sistemas.

Para 16 das 34 vítimas, parece que o Ballistic Bobcat não foi o único agente de ameaça com acesso aos seus sistemas. Isto pode indicar, juntamente com a grande variedade de vítimas e a aparente falta de valor óbvio de inteligência de algumas vítimas, que o Ballistic Bobcat se envolveu num comportamento de varredura e exploração, em oposição a uma campanha direcionada contra vítimas pré-selecionadas.

Toolset

Ferramentas de código aberto

A Ballistic Bobcat empregou diversas ferramentas de código aberto durante a campanha Sponsoring Access. Essas ferramentas e suas funções estão listadas em  REF_Ref112861458h mesa 2
.

mesa  Tabela SEQ * ÁRABE 2. Ferramentas de código aberto usadas pelo Ballistic Bobcat

Nome do arquivo	Descrição
host2ip.exe	Mapeia um nome do host para um endereço IP dentro da rede local.
CSRSS.EXE	RevSocks, um aplicativo de túnel reverso.
mi.exe	Mimikatz, com um nome de arquivo original de midongle.exe e embalado com o Empacotador PE Tatu.
gosto.exe	Túnel simples GO (GOST), um aplicativo de tunelamento escrito em Go.
cinzel.exe	Formão, um túnel TCP/UDP sobre HTTP usando camadas SSH.
csrss_protected.exe	Túnel RevSocks, protegido com a versão de teste do Proteção de software Enigma Protector.
plink.exe	Plink (PuTTY Link), uma ferramenta de conexão de linha de comando.
WebBrowserPassView.exe	A ferramenta de recuperação de senha para senhas armazenadas em navegadores da web.
sqlextractor.exe	A ferramenta para interagir e extrair dados de bancos de dados SQL.
procdump64.exe	ProcDumpName, um  Utilitário de linha de comando Sysinternals para monitorar aplicativos e gerar despejos de memória.

Arquivos em lote

O Ballistic Bobcat implantou arquivos em lote nos sistemas das vítimas momentos antes de implantar o backdoor do Patrocinador. Os caminhos de arquivo que conhecemos são:

• C:inetpubwwwrootaspnet_clientInstall.bat
• %USERPROFILE%DesktopInstall.bat
• % WINDOWS% TasksInstall.bat

Infelizmente, não foi possível obter nenhum desses arquivos em lote. No entanto, acreditamos que eles gravam arquivos de configuração inócuos no disco, que o backdoor do Patrocinador exige para funcionar totalmente. Esses nomes de arquivos de configuração foram retirados dos backdoors do Patrocinador, mas nunca foram coletados:

• config.txt
• nó.txt
• erro.txt
• Desinstalar.bat

Acreditamos que os arquivos em lote e os arquivos de configuração fazem parte do processo de desenvolvimento modular que o Ballistic Bobcat tem favorecido nos últimos anos.

Porta dos fundos do patrocinador

Os backdoors do patrocinador são escritos em C++ com carimbos de data/hora de compilação e caminhos de banco de dados de programa (PDB), conforme mostrado em  REF_Ref112861527h mesa 3
. Uma observação sobre os números de versão: a coluna Versão representa a versão que rastreamos internamente com base na progressão linear dos backdoors do Patrocinador, onde as alterações são feitas de uma versão para a próxima. O Versão interna contém os números de versão observados em cada backdoor do Patrocinador e são incluídos para facilitar a comparação ao examinar essas e outras amostras potenciais do Patrocinador.

mesa 3. Carimbos de data e hora de compilação do patrocinador e PDBs

Versão	Versão interna	Carimbo de data/hora de compilação	PDB
1	1.0.0	2021-08-29 09:12:51	D:TempBD_Plus_SrvcReleaseBD_Plus_Srvc.pdb
2	1.0.0	2021-10-09 12:39:15	D:TempSponsorReleaseSponsor.pdb
3	1.4.0	2021-11-24 11:51:55	D:TempSponsorReleaseSponsor.pdb
4	2.1.1	2022-02-19 13:12:07	D:TempSponsorReleaseSponsor.pdb
5	1.2.3.0	2022-06-19 14:14:13	D:TempAluminaReleaseAlumina.pdb

A execução inicial do Patrocinador requer o argumento de tempo de execução instalar, sem o qual o Patrocinador sai normalmente, provavelmente uma técnica simples de antiemulação/anti-sandbox. Se esse argumento for aprovado, o Patrocinador cria um serviço chamado Rede do sistema (em v1) e Atualizar (em todas as outras versões). Ele define o serviço Tipo de inicialização para Automáticoe o configura para executar seu próprio processo do Patrocinador e concede acesso total. Em seguida, inicia o serviço.

O patrocinador, agora executado como um serviço, tenta abrir os arquivos de configuração mencionados anteriormente colocados no disco. Ele procura config.txt e nó.txt, ambos no diretório de trabalho atual. Se o primeiro estiver faltando, o Patrocinador define o serviço como Parado e sai graciosamente.

Configuração de backdoor

Configuração do patrocinador, armazenada em config.txt, contém dois campos:

• Um intervalo de atualização, em segundos, para entrar em contato periodicamente com o servidor C&C para obter comandos.
• Uma lista de servidores C&C, referidos como relés nos binários do patrocinador.

Os servidores C&C são armazenados criptografados (RC4), e a chave de descriptografia está presente na primeira linha do config.txt. Cada um dos campos, incluindo a chave de descriptografia, tem o formato mostrado em  REF_Ref142647636h Figura 3
.

Esses subcampos são:

• config_start: indica o comprimento de nome_configuração, se presente, ou zero, se não. Usado pelo backdoor para saber onde dados_configuração Começa.
• config_len: Comprimento de dados_configuração.
• nome_configuração: opcional, contém um nome dado ao campo de configuração.
• dados_configuração: a própria configuração, criptografada (no caso de servidores C&C) ou não (todos os demais campos).

 REF_Ref142648473h Figura 4
mostra um exemplo com conteúdo codificado por cores de um possível config.txt arquivo. Observe que este não é um arquivo real que observamos, mas um exemplo fabricado.

Os dois últimos campos em config.txt são criptografados com RC4, usando a representação de string do hash SHA-256 da chave de descriptografia especificada, como a chave para criptografar os dados. Vemos que os bytes criptografados são armazenados codificados em hexadecimal como texto ASCII.

Coleta de informações do host

O patrocinador coleta informações sobre o host no qual está sendo executado, reporta todas as informações coletadas ao servidor C&C e recebe um ID de nó, que é gravado no nó.txt.  REF_Ref142653641h mesa 4
REF_Ref112861575h
 lista chaves e valores no registro do Windows que o Patrocinador usa para obter as informações e fornece um exemplo dos dados coletados.

Tabela 4. Informações coletadas pelo Patrocinador

Chave do registro	Valor	Exemplo
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters	hostname	D-835MK12
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTimeZoneInformation	Nome da chave do fuso horário	Hora Padrão de Israel
HKEY_USERS.DEFAULTPainel de ControleInternacional	LocaleName	he-IL
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemBIOS	ProdutoPlaca Base	10NX0010IL
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessor	ProcessadorNameString	CPU Intel (R) Core (TM) i7-8565U a 1.80 GHz
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion	Nome do Produto	Windows 10 Enterprise N
	CurrentVersion	6.3
	Número de compilação atual	19044
	Tipo de instalação	Cliente

O patrocinador também coleta o domínio Windows do host usando o seguinte WMIC comando:

sistema de computador wmic obtém domínio

Por último, o Patrocinador usa APIs do Windows para coletar o nome de usuário atual (ObterNomeUsuárioW), determine se o processo atual do Patrocinador está sendo executado como um aplicativo de 32 ou 64 bits (ObterProcessoAtual, Em seguida IsWow64Process (Processo Atual)) e determina se o sistema está funcionando com bateria ou conectado a uma fonte de alimentação CA ou CC (ObterSystemPowerStatus).

Uma curiosidade em relação à verificação do aplicativo de 32 ou 64 bits é que todas as amostras observadas do Patrocinador eram de 32 bits. Isso pode significar que algumas das ferramentas do próximo estágio exigem essas informações.

As informações coletadas são enviadas em uma mensagem codificada em base64 que, antes da codificação, começa com r e tem o formato mostrado em  REF_Ref142655224h Figura 5
.

As informações são criptografadas com RC4 e a chave de criptografia é um número aleatório gerado no local. A chave é hash com o algoritmo MD5, não com SHA-256 como mencionado anteriormente. Este é o caso de todas as comunicações em que o Patrocinador tem de enviar dados encriptados.

O servidor C&C responde com um número usado para identificar o computador vitimado em comunicações posteriores, que é escrito para nó.txt. Observe que o servidor C&C é escolhido aleatoriamente na lista quando o r a mensagem é enviada e o mesmo servidor é usado em todas as comunicações subsequentes.

Loop de processamento de comando

O patrocinador solicita comandos em loop, dormindo de acordo com o intervalo definido em config.txt. Os passos são:

1. Enviar um chk=Teste mensagem repetidamente, até que o servidor C&C responda Ok.
2. Enviar um c (IS_CMD_AVAIL) mensagem para o servidor C&C e recebe um comando do operador.
3. Processe o comando.
   • Se houver saída a ser enviada ao servidor C&C, envie um a (ACK) mensagem, incluindo a saída (criptografada) ou
   • Se a execução falhar, envie um f (FALHOU) mensagem. A mensagem de erro não é enviada.
4. Dormir.

A c mensagem é enviada para solicitar a execução de um comando e tem o formato (antes da codificação base64) mostrado em  REF_Ref142658017h Figura 6
.

A criptografado_nenhum campo na figura é o resultado da criptografia da string codificada nenhum com RC4. A chave para criptografia é o hash MD5 de node_id.

A URL usada para entrar em contato com o servidor C&C é construída como: http://<IP_or_domain>:80. Isto pode indicar que 37.120.222 [.] 168: 80 é o único servidor C&C usado durante a campanha de Sponsoring Access, pois foi o único endereço IP que observamos nas máquinas das vítimas acessando a porta 80.

Comandos do operador

Os comandos do operador são delineados em  REF_Ref112861551h mesa 5
e aparecem na ordem em que são encontrados no código. A comunicação com o servidor C&C ocorre pela porta 80.

Tabela 5. Comandos e descrições do operador

Command	Descrição
p	Envia o ID do processo do patrocinador em execução.
e	Executa um comando, conforme especificado em um argumento adicional subsequente, no host Patrocinador usando a seguinte string: c:windowssystem32cmd.exe /c    > resultado.txt 2>&1 Os resultados são armazenados em result.txt no diretório de trabalho atual. Envia um a mensagem com a saída criptografada para o servidor C&C se executada com sucesso. Se falhar, envia um f mensagem (sem especificar o erro).
d	Recebe um arquivo do servidor C&C e o executa. Este comando tem muitos argumentos: o nome do arquivo de destino no qual gravar o arquivo, o hash MD5 do arquivo, um diretório no qual gravar o arquivo (ou o diretório de trabalho atual, por padrão), um booleano para indicar se o arquivo deve ser executado ou not, e o conteúdo do arquivo executável, codificado em base64. Se nenhum erro ocorrer, um a a mensagem é enviada ao servidor C&C com Carregue e execute o arquivo com sucesso or Carregar arquivo com sucesso sem executar (criptografado). Se ocorrerem erros durante a execução do arquivo, um f mensagem é enviada. Se o hash MD5 do conteúdo do arquivo não corresponder ao hash fornecido, um e (CRC_ERROR) a mensagem é enviada ao servidor C&C (incluindo apenas a chave de criptografia usada e nenhuma outra informação). O uso do termo Escolher arquivo aqui é potencialmente confuso, já que os operadores e codificadores do Ballistic Bobcat adotam o ponto de vista do lado do servidor, enquanto muitos podem ver isso como um download baseado na extração do arquivo (ou seja, baixá-lo) pelo sistema usando o backdoor do patrocinador.
u	Tentativas de baixar um arquivo usando o URLDownloadArquivoW API do Windows e execute-a. O sucesso envia um a mensagem com a chave de criptografia usada e nenhuma outra informação. A falha envia um f mensagem com estrutura semelhante.
s	Executa um arquivo já em disco, Desinstalar.bat no diretório de trabalho atual, que provavelmente contém comandos para excluir arquivos relacionados ao backdoor.
n	Este comando pode ser fornecido explicitamente por um operador ou pode ser inferido pelo Patrocinador como o comando a ser executado na ausência de qualquer outro comando. Referido no Patrocinador como NO_CMD, ele executa um sleep aleatório antes de fazer check-in novamente no servidor C&C.
b	Atualiza a lista de C&Cs armazenados em config.txt no diretório de trabalho atual. Os novos endereços C&C substituem os anteriores; eles não são adicionados à lista. Ele envia um a mensagem com Novos relés substituídos com sucesso (criptografado) para o servidor C&C se atualizado com sucesso.
i	Atualiza o intervalo de check-in predeterminado especificado em config.txt. Ele envia um a mensagem com Novo intervalo substituído com sucesso para o servidor C&C se atualizado com sucesso.

Atualizações para o patrocinador

Os codificadores Ballistic Bobcat fizeram revisões de código entre o Patrocinador v1 e v2. As duas mudanças mais significativas neste último são:

• Otimização do código onde várias funções mais longas foram minimizadas em funções e subfunções, e
• Disfarçar o Patrocinador como um programa atualizador, incluindo a seguinte mensagem na configuração do serviço:

As atualizações de aplicativos são ótimas para usuários e aplicativos – atualizações significam que os desenvolvedores estão sempre trabalhando para melhorar o aplicativo, tendo em mente uma melhor experiência do cliente a cada atualização.

Infraestrutura de rede

Além de aproveitar a infraestrutura C&C usada na campanha PowerLess, a Ballistic Bobcat também introduziu um novo servidor C&C. O grupo também utilizou vários IPs para armazenar e fornecer ferramentas de suporte durante a campanha de Sponsoring Access. Confirmamos que nenhum desses IPs está em operação no momento.

Conclusão

O Ballistic Bobcat continua operando em um modelo de varredura e exploração, procurando alvos de oportunidade com vulnerabilidades não corrigidas em servidores Microsoft Exchange expostos à Internet. O grupo continua a usar um conjunto diversificado de ferramentas de código aberto complementado com vários aplicativos personalizados, incluindo o backdoor Sponsor. Seria aconselhável que os defensores corrigissem quaisquer dispositivos expostos à Internet e permanecessem vigilantes quanto a novos aplicativos que surgem em suas organizações.

Para quaisquer dúvidas sobre nossa pesquisa publicada no WeLiveSecurity, entre em contato conosco em ameaçaintel@eset.com.
A ESET Research oferece relatórios privados de inteligência APT e feeds de dados. Para qualquer esclarecimento sobre este serviço, visite o Inteligência de ameaças ESET Disputas de Comerciais.

IoCs

Arquivos

SHA-1	Nome do arquivo	Detecção	Descrição
098B9A6CE722311553E1D8AC5849BA1DC5834C52	N/D	Win32/Agent.UXG	Backdoor Ballistic Bobcat, Patrocinador (v1).
5AEE3C957056A8640041ABC108D0B8A3D7A02EBD	N/D	Win32/Agent.UXG	Backdoor Ballistic Bobcat, Patrocinador (v2).
764EB6CA3752576C182FC19CFF3E86C38DD51475	N/D	Win32/Agent.UXG	Backdoor Ballistic Bobcat, Patrocinador (v3).
2F3EDA9D788A35F4C467B63860E73C3B010529CC	N/D	Win32/Agent.UXG	Backdoor Ballistic Bobcat, Patrocinador (v4).
E443DC53284537513C00818392E569C79328F56F	N/D	Win32/Agent.UXG	Backdoor Ballistic Bobcat, Patrocinador (v5, também conhecido como Alumina).
C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61	N/D	WinGo/Agente.BT	Túnel reverso RevSocks.
39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6	N/D	limpar	ProcDump, um utilitário de linha de comando para monitorar aplicativos e gerar despejos de memória.
A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A	N/D	Generik.EYWYQYF	Mimikatz.
5D60C8507AC9B840A13FFDF19E3315A3E14DE66A	N/D	WinGo/Riskware.Gost.D	GO Túnel Simples (GOST).
50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617	N/D	WinGo/HackTool.Chisel.A	Cinzel túnel reverso.
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252	N/D	N/D	Ferramenta de descoberta Host2IP.
519CA93366F1B1D71052C6CE140F5C80CE885181	N/D	Win64/Packed.Enigma.BV	Túnel RevSocks, protegido com a versão de teste do software Enigma Protector.
4709827C7A95012AB970BF651ED5183083366C79	N/D	N/D	Plink (PuTTY Link), uma ferramenta de conexão de linha de comando.
99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8	N/D	Win32/PSWTool.WebBrowserPassView.I	Uma ferramenta de recuperação de senhas armazenadas em navegadores da web.
E52AA118A59502790A4DD6625854BD93C0DEAF27	N/D	MSIL/HackTool.SQLDump.A	Uma ferramenta para interagir e extrair dados de bancos de dados SQL.

 

Caminhos de arquivo

A seguir está uma lista de caminhos onde o backdoor do patrocinador foi implantado nas máquinas vitimadas.

%SYSTEMDRIVE%inetpubwwwrootaspnet_client

%USERPROFILE%AppDataLocalTempfile

%USERPROFILE%AppDataLocalTemp2low

% USERPROFILE% Desktop

%USERPROFILE%Downloadsa

% WINDIR%

%WINDIR%INFMSDSN de entrega do Exchange

%WINDIR%Tarefas

%WINDIR%Temp%WINDIR%Tempcrashpad1Arquivos

Network

IP	provedor do cliente	Visto pela primeira vez	Visto pela última vez	Adicionar ao carrinho
162.55.137[.]20	Hetzner Online GMBH	2021-06-14	2021-06-15	C&C sem energia.
37.120.222[.]168	M247 LTDA	2021-11-28	2021-12-12	Patrocinador C&C.
198.144.189[.]74	Colocrossing	2021-11-29	2021-11-29	Site de download de ferramentas de suporte.
5.255.97[.]172	O Grupo de Infraestrutura BV	2021-09-05	2021-10-28	Site de download de ferramentas de suporte.

Esta tabela foi construída usando versão 13 da estrutura MITRE ATT&CK.

Tática	ID	Nome	Descrição
Reconhecimento	T1595	Verificação ativa: verificação de vulnerabilidades	O Ballistic Bobcat verifica versões vulneráveis ​​de servidores Microsoft Exchange para explorar.
Desenvolvimento de Recursos	T1587.001	Desenvolver recursos: malware	Ballistic Bobcat projetou e codificou o backdoor do patrocinador.
	T1588.002	Obter recursos: ferramenta	Ballistic Bobcat usa várias ferramentas de código aberto como parte da campanha Sponsoring Access.
Acesso Inicial	T1190	Explorar aplicativo voltado para o público	Ballistic Bobcat tem como alvo exposto à Internet  Servidores Microsoft Exchange.
Execução	T1059.003	Interpretador de comandos e scripts: Shell de comando do Windows	O backdoor do Patrocinador usa o shell de comando do Windows para executar comandos no sistema da vítima.
	T1569.002	Serviços do sistema: execução de serviço	O backdoor do Patrocinador se define como um serviço e inicia suas funções primárias após a execução do serviço.
Persistência	T1543.003	Criar ou modificar o processo do sistema: serviço do Windows	O patrocinador mantém a persistência criando um serviço com inicialização automática que executa suas funções primárias em loop.
Escalonamento de Privilégios	T1078.003	Contas válidas: contas locais	Os operadores do Ballistic Bobcat tentam roubar credenciais de usuários válidos após explorar inicialmente um sistema antes de implantar o backdoor do patrocinador.
Evasão de Defesa	T1140	Desofuscar / decodificar arquivos ou informações	O patrocinador armazena informações em disco que são criptografadas e ofuscadas e as desofusca em tempo de execução.
	T1027	Arquivos ou informações ofuscados	Os arquivos de configuração que o backdoor do patrocinador exige no disco são criptografados e ofuscados.
	T1078.003	Contas válidas: contas locais	O patrocinador é executado com privilégios de administrador, provavelmente usando credenciais que os operadores encontraram no disco; junto com as convenções de nomenclatura inócuas do Ballistic Bobcat, isso permite que o Patrocinador se misture ao plano de fundo.
Acesso de credencial	T1555.003	Credenciais de armazenamentos de senhas: Credenciais de navegadores da Web	Os operadores do Ballistic Bobcat usam ferramentas de código aberto para roubar credenciais de armazenamentos de senhas dentro de navegadores da web.
Discovery	T1018	Descoberta remota do sistema	Ballistic Bobcat usa a ferramenta Host2IP, anteriormente usada pela Agrius, para descobrir outros sistemas dentro de redes acessíveis e correlacionar seus nomes de host e endereços IP.
Comando e controle	T1001	Ofuscação de dados	O backdoor do patrocinador ofusca os dados antes de enviá-los ao servidor C&C.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Automotivo / EVs, Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• ChartPrime. Eleve seu jogo de negociação com ChartPrime. Acesse aqui.
• BlockOffsets. Modernizando a Propriedade de Compensação Ambiental. Acesse aqui.
• Fonte: https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/