Спонсор с пакетными усами: сканирование Ballistic Bobcat и удар по бэкдору

Исследователи ESET обнаружили кампанию Ballistic Bobcat, нацеленную на различные организации в Бразилии, Израиле и Объединенных Арабских Эмиратах, с использованием нового бэкдора, который мы назвали Sponsor.

Мы обнаружили Sponsor после того, как проанализировали интересный образец, обнаруженный нами в системе жертвы в Израиле в мае 2022 года, и оценили набор жертв по странам. В ходе проверки нам стало очевидно, что образец представляет собой новый бэкдор, развернутый APT-группой Ballistic Bobcat.

Ballistic Bobcat, ранее отслеживавшийся ESET Research как APT35/APT42 (также известный как Charming Kitten, TA453 или PHOSPHORUS), является подозреваемым Связанная с Ираном передовая группа постоянной угрозы целью которого являются образовательные, правительственные и медицинские организации, а также правозащитники и журналисты. Наиболее активна она в Израиле, на Ближнем Востоке и в США. Примечательно, что во время пандемии он был нацелен на организации, связанные с COVID-19, включая Всемирную организацию здравоохранения и Gilead Pharmaceuticals, а также на медицинский исследовательский персонал.

Совпадения между кампаниями Ballistic Bobcat и спонсорские бэкдор-версии демонстрируют довольно четкую схему разработки и внедрения инструментов с узконаправленными кампаниями, каждая из которых имеет ограниченную продолжительность. Впоследствии мы обнаружили еще четыре версии бэкдора Sponsor. В общей сложности мы видели, как Спонсор был направлен как минимум к 34 жертвам в Бразилии, Израиле и Объединенных Арабских Эмиратах, как указано в  REF _Ref143075975 ч фигура 1
.

Ключевые моменты этого поста:

• Мы обнаружили новый бэкдор, внедренный компанией Ballistic Bobcat, который мы впоследствии назвали Sponsor.
• Ballistic Bobcat развернула новый бэкдор в сентябре 2021 года, когда завершалась кампания, описанная в CISA Alert AA21-321A, и кампания PowerLess.
• Бэкдор Sponsor использует файлы конфигурации, хранящиеся на диске. Эти файлы незаметно развертываются с помощью пакетных файлов и намеренно созданы так, чтобы выглядеть безобидными, тем самым пытаясь избежать обнаружения механизмами сканирования.
• Спонсор был направлен как минимум к 34 жертвам в Бразилии, Израиле и Объединенных Арабских Эмиратах; мы назвали это мероприятие кампанией спонсорского доступа.

Начальный доступ

Ballistic Bobcat получила первоначальный доступ, воспользовавшись известными уязвимостями на доступных в Интернете серверах Microsoft Exchange, сначала проведя тщательное сканирование системы или сети для выявления потенциальных слабых мест или уязвимостей, а затем выявив и воспользовавшись этими выявленными уязвимостями. Известно, что группа уже некоторое время занимается подобным поведением. Тем не менее, многие из 34 жертв, выявленных с помощью телеметрии ESET, лучше всего могут быть описаны как жертвы возможностей, а не как заранее отобранные и исследованные жертвы, поскольку мы подозреваем, что Ballistic Bobcat использовала описанное выше поведение сканирования и использования, поскольку это была не единственная угроза. субъект, имеющий доступ к этим системам. Мы назвали это мероприятие Ballistic Bobcat, используя бэкдор спонсора, кампанией спонсорского доступа.

Бэкдор Sponsor использует файлы конфигурации на диске, передаваемые пакетными файлами, и оба они безобидны и позволяют обходить механизмы сканирования. Этот модульный подход Ballistic Bobcat использовал довольно часто и со скромным успехом в течение последних двух с половиной лет. На взломанных системах Ballistic Bobcat также продолжает использовать различные инструменты с открытым исходным кодом, которые мы описываем (вместе с бэкдором Sponsor) в этом блоге.

виктимология

Значительное большинство из 34 жертв находились в Израиле, и только двое - в других странах:

• Бразилия, у медицинского кооператива и оператора медицинского страхования, и
• Объединенные Арабские Эмираты, в неустановленной организации.

 REF _Ref112861418 ч Настольные 1
описывает вертикали и организационные детали жертв в Израиле.

Настольные  Таблица SEQ * АРАБСКИЙ 1. Вертикали и организационные детали жертв в Израиле

вертикальный	Подробнее
Автомобильная	·       Автомобильная компания, специализирующаяся на индивидуальных модификациях. ·       Компания по ремонту и обслуживанию автомобилей.
Связь	·       Израильское СМИ.
Проект и	·       Строительная фирма. ·       Экологическая инжиниринговая фирма. ·       Архитектурно-проектная фирма.
финансовые услуги	·       Компания финансовых услуг, специализирующаяся на инвестиционном консультировании. ·       Компания, которая управляет роялти.
Здоровье	·       Поставщик медицинских услуг.
Страхование	·       Страховая компания, которая управляет страховым рынком. ·       Коммерческая страховая компания.
закон	·       Фирма, специализирующаяся на медицинском праве.
Производство	·       Несколько компаний-производителей электроники. ·       Компания, производящая коммерческую продукцию на основе металлов. ·       Многонациональная компания по производству технологий.
Ритейл	·       Продавец продуктов питания. ·       Многонациональный ритейлер бриллиантов. ·       Розничная торговля средствами по уходу за кожей. ·       Продавец и установщик оконных систем. ·       Глобальный поставщик электронных компонентов. ·       Поставщик средств контроля физического доступа.
Технологии	·       Технологическая компания, предоставляющая ИТ-услуги. ·       Поставщик ИТ-решений.
Телекоммуникации	·       Телекоммуникационная компания.
неопознанный	·       Множество неопознанных организаций.

приписывание

В августе 2021 года указанная выше жертва израильтянина, управляющая страховым рынком, подверглась нападению со стороны Ballistic Bobcat с использованием инструментов. CISA сообщило в ноябре 2021 г.. Показателями компрометации, которые мы наблюдали, являются:

• MicrosoftOutlookUpdateSchedule,
• MicrosoftOutlookUpdateSchedule.xml,
• GoogleChangeManagementи
• GoogleChangeManagement.xml.

Инструменты Ballistic Bobcat взаимодействовали с тем же сервером управления и контроля (C&C), что и в отчете CISA: 162.55.137[.]20.

Затем, в сентябре 2021 года, та же жертва получила следующее поколение инструментов Ballistic Bobcat: Бэкдор PowerLess и его вспомогательный набор инструментов. Показателями компрометации, которые мы наблюдали, были:

• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/dll.dll,
• windowsprocesses.exeи
• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/windowsprocesses.exe.

На ноябрь 18^thВ 2021 году группа затем применила еще один инструмент (палить), что было отражено в отчете CISA, поскольку MicrosoftOutLookUpdater.exe. Десять дней спустя, 28 ноября.^th, 2021 год, компания Ballistic Bobcat развернула агент Мерлина (агентская часть C&C-сервер и агент с открытым исходным кодом после эксплуатации, написанные на Go). На диске имя этого агента Мерлина было googleUpdate.exe, используя то же соглашение об именах, которое описано в отчете CISA, чтобы скрыться на виду.

Агент Merlin выполнил обратную оболочку Meterpreter, которая перезвонила новому C&C-серверу. 37.120.222[.]168:80. 12 декабря^th, 2021, обратная оболочка сбросила батник, install.bat, и через несколько минут после выполнения командного файла операторы Ballistic Bobcat запустили свой новейший бэкдор Sponsor. Это оказалась третья версия бэкдора.

Технический анализ

Начальный доступ

Нам удалось определить вероятные способы первоначального доступа для 23 из 34 жертв, которые мы наблюдали с помощью телеметрии ESET. Аналогично тому, что сообщалось в Без питания и CISA сообщает, что Ballistic Bobcat, вероятно, воспользовался известной уязвимостью, CVE-2021-26855, на серверах Microsoft Exchange, чтобы закрепиться в этих системах.

Похоже, что для 16 из 34 жертв Ballistic Bobcat был не единственным злоумышленником, имевшим доступ к их системам. Наряду с большим разнообразием жертв и очевидным отсутствием очевидной разведывательной ценности некоторых жертв, это может указывать на то, что Ballistic Bobcat занимался сканированием и эксплуатацией, а не целенаправленной кампанией против заранее выбранных жертв.

Набор инструментов

Инструменты с открытым исходным кодом

Во время кампании по спонсорскому доступу компания Ballistic Bobcat использовала ряд инструментов с открытым исходным кодом. Эти инструменты и их функции перечислены в  REF _Ref112861458 ч Настольные 2
.

Настольные  Таблица SEQ * АРАБСКИЙ 2. Инструменты с открытым исходным кодом, используемые Ballistic Bobcat

Имя файла	Описание
хост2ip.exe	Карты имя хоста на IP-адрес внутри локальной сети.
CSRSS.EXE	RevSocks, приложение обратного туннеля.
ми.exe	Mimikatz, с оригинальным именем файла Midongle.exe и упакованный с Упаковщик Armadillo PE.
гост.exe	GO Простой туннель (ГОСТ), приложение для туннелирования, написанное на Go.
долото.exe	долото, туннель TCP/UDP через HTTP с использованием уровней SSH.
csrss_protected.exe	Туннель RevSocks, защищенный пробной версией Защита программного обеспечения Enigma Protector.
plink.exe	палить (PuTTY Link), инструмент подключения из командной строки.
WebBrowserPassView.exe	A инструмент для восстановления пароля для паролей, хранящихся в веб-браузерах.
sqlextractor.exe	A инструментом для взаимодействия и извлечения данных из баз данных SQL.
procdump64.exe	ProcDump, чтобы  Утилита командной строки Sysinternals для мониторинга приложений и создания аварийных дампов.

Пакетные файлы

Ballistic Bobcat развернула пакетные файлы в системах жертв за несколько мгновений до развертывания бэкдора Sponsor. Нам известны следующие пути к файлам:

• C:inetpubwwwrootaspnet_clientInstall.bat
• %USERPROFILE%DesktopInstall.bat
• %WINDOWS%TasksInstall.bat

К сожалению, нам не удалось получить ни один из этих пакетных файлов. Однако мы полагаем, что они записывают на диск безобидные файлы конфигурации, которые необходимы бэкдору Sponsor для полноценной работы. Эти имена файлов конфигурации были взяты из бэкдоров Sponsor, но никогда не собирались:

• config.txt
• узел.txt
• ошибка.txt
• Удалить.bat

Мы считаем, что пакетные файлы и файлы конфигурации являются частью модульного процесса разработки, которому Ballistic Bobcat отдает предпочтение на протяжении последних нескольких лет.

Спонсорский бэкдор

Спонсорские бэкдоры написаны на C++ с метками времени компиляции и путями к базе данных программ (PDB), как показано на рис.  REF _Ref112861527 ч Настольные 3
. Примечание о номерах версий: столбец Версия представляет собой версию, которую мы отслеживаем внутри компании на основе линейного развития бэкдоров спонсора, когда изменения вносятся от одной версии к другой. Внутренняя версия Столбец содержит номера версий, наблюдаемые в каждом бэкдоре спонсора, и включен для удобства сравнения при изучении этих и других потенциальных образцов спонсора.

Настольные 3. Временные метки компиляции спонсора и PDB

Версия	Внутренняя версия	Временная метка компиляции	PDB
1	1.0.0	2021-08-29 09:12:51	D:TempBD_Plus_SrvcReleaseBD_Plus_Srvc.pdb
2	1.0.0	2021-10-09 12:39:15	D:TempSponsorReleaseSponsor.pdb
3	1.4.0	2021-11-24 11:51:55	D:TempSponsorReleaseSponsor.pdb
4	2.1.1	2022-02-19 13:12:07	D:TempSponsorReleaseSponsor.pdb
5	1.2.3.0	2022-06-19 14:14:13	D:TempAluminaReleaseAlumina.pdb

Для первоначального выполнения Sponsor требуется аргумент времени выполнения. устанавливать, без которого Sponsor корректно завершает работу, вероятно, это простой метод защиты от эмуляции/песочницы. Если передан этот аргумент, спонсор создает службу с именем Системная сеть (в v1) и расширение Обновление ПО (во всех остальных версиях). Он устанавливает сервис Тип запуска в Автоматический, и настраивает его на запуск собственного процесса спонсора и предоставляет ему полный доступ. Затем он запускает службу.

Спонсор, теперь работающий как служба, пытается открыть вышеупомянутые файлы конфигурации, ранее размещенные на диске. Он ищет config.txt и узел.txt, оба в текущем рабочем каталоге. Если первый отсутствует, Спонсор устанавливает услугу на Остановлена и изящно уходит.

Конфигурация бэкдора

Конфигурация спонсора, хранящаяся в config.txt, содержит два поля:

• Интервал обновления в секундах для периодического обращения к командному серверу для получения команд.
• Список C&C-серверов, называемый реле в двоичных файлах спонсора.

Командные серверы хранятся в зашифрованном виде (RC4), а ключ дешифрования присутствует в первой строке config.txt. Каждое из полей, включая ключ дешифрования, имеет формат, показанный на рисунке.  REF _Ref142647636 ч фигура 3
.

Эти подполя:

• config_start: указывает длину имя_конфигурации, если присутствует, или ноль, если нет. Используется бэкдором, чтобы узнать, где config_data начинается.
• config_len: длина config_data.
• имя_конфигурации: необязательно, содержит имя, присвоенное полю конфигурации.
• config_data: сама конфигурация, зашифрованная (в случае C&C-серверов) или нет (все остальные поля).

 REF _Ref142648473 ч фигура 4
показывает пример с цветным содержимым возможного config.txt файл. Обратите внимание, что это не реальный файл, который мы наблюдали, а сфабрикованный пример.

Последние два поля в config.txt шифруются с помощью RC4 с использованием строкового представления хеша SHA-256 указанного ключа дешифрования в качестве ключа для шифрования данных. Мы видим, что зашифрованные байты хранятся в шестнадцатеричном виде как текст ASCII.

Сбор информации о хосте

Спонсор собирает информацию о хосте, на котором он работает, передает всю собранную информацию на командный сервер и получает идентификатор узла, который записывается в узел.txt.  REF _Ref142653641 ч Настольные 4
REF _Ref112861575 ч
 перечисляет ключи и значения в реестре Windows, которые Спонсор использует для получения информации, и предоставляет пример собранных данных.

Таблица 4. Информация, собранная Спонсором

Ключ реестра	Значение	Пример
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters	Hostname	Д-835МК12
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTimeZoneInformation	Часовой поясKeyName	Стандартное время Израиля
HKEY_USERS.DEFAULTПанель управленияМеждународный	Имя локали	он-IL
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemBIOS	BaseBoardПродукт	10NX0010IL
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessor	ИмяПроцессораСтрока	Процессор Intel(R) Core(TM) i7-8565U @ 1.80 ГГц
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion	Наименование товара	Windows 10 Enterprise N
	CurrentVersion	6.3
	Текущий номер сборки	19044
	Тип установки	"Клиент"

Спонсор также собирает домен Windows хоста, используя следующие WMIC команда:

Компьютерная система wmic получить домен

Наконец, Sponsor использует API-интерфейсы Windows для сбора текущего имени пользователя (GetUserNameW), определить, работает ли текущий процесс Sponsor как 32- или 64-разрядное приложение (GetCurrentProcess, то IsWow64Process(ТекущийПроцесс)) и определяет, работает ли система от батареи или подключена к источнику питания переменного или постоянного тока (GetSystemPowerStatus).

Одна из странностей, связанных с проверкой 32- или 64-битных приложений, заключается в том, что все наблюдаемые образцы Sponsor были 32-битными. Это может означать, что некоторым инструментам следующего этапа потребуется эта информация.

Собранная информация отправляется в сообщении в кодировке Base64, которое перед кодированием начинается с r и имеет формат, показанный на  REF _Ref142655224 ч фигура 5
.

Информация зашифрована с помощью RC4, а ключ шифрования представляет собой случайное число, генерируемое на месте. Ключ хешируется с помощью алгоритма MD5, а не SHA-256, как упоминалось ранее. Это относится ко всем сообщениям, при которых Спонсору приходится отправлять зашифрованные данные.

Сервер C&C отвечает номером, используемым для идентификации компьютера-жертвы в последующих сообщениях, который записывается в узел.txt. Обратите внимание, что командный сервер выбирается случайным образом из списка при r сообщение отправляется, и тот же сервер используется во всех последующих сообщениях.

Цикл обработки команд

Спонсор запрашивает команды в цикле, переходя в режим ожидания в соответствии с интервалом, определенным в config.txt. Шаги следующие:

1. Отправить chk=Тест сообщение несколько раз, пока C&C-сервер не ответит Ok.
2. Отправить c (IS_CMD_AVAIL) сообщение на командный сервер и получить команду оператора.
3. Обработайте команду.
   • Если есть выходные данные для отправки на C&C-сервер, отправьте a (ACK) сообщение, включая вывод (зашифрованный), или
   • Если выполнение не удалось, отправьте f (FAILED) сообщение. Сообщение об ошибке не отправляется.
4. Сон.

Ассоциация c Сообщение отправляется с запросом на выполнение команды и имеет формат (до кодировки Base64), показанный на рисунке.  REF _Ref142658017 ч фигура 6
.

Ассоциация зашифрованное_нет поле на рисунке является результатом шифрования жестко запрограммированной строки Ничто с RC4. Ключом для шифрования является MD5-хеш node_id.

URL-адрес, используемый для связи с C&C-сервером, строится как: http://<IP_or_domain>:80. Это может указывать на то, что 37.120.222[.]168:80 — единственный C&C-сервер, использовавшийся на протяжении всей кампании по спонсорскому доступу, поскольку это был единственный IP-адрес, который мы наблюдали, когда машины-жертвы обращались к порту 80.

Команды оператора

Команды оператора описаны в  REF _Ref112861551 ч Настольные 5
и появляются в том порядке, в котором они встречаются в коде. Связь с C&C-сервером происходит через порт 80.

Таблица 5. Команды оператора и их описания

Command	Описание
p	Отправляет идентификатор текущего процесса спонсора.
e	Выполняет команду, указанную в последующем дополнительном аргументе, на хосте спонсора, используя следующую строку: с: windowssystem32cmd.exe/с    > result.txt 2>&1 Результаты хранятся в result.txt в текущем рабочем каталоге. Отправляет a сообщение с зашифрованным выводом на C&C-сервер в случае успешного выполнения. В случае неудачи отправляет f сообщение (без указания ошибки).
d	Получает файл с C&C-сервера и выполняет его. Эта команда имеет множество аргументов: имя целевого файла для записи файла, MD5-хеш файла, каталог для записи файла (или текущий рабочий каталог по умолчанию), логическое значение, указывающее, следует ли запускать файл или нет, а содержимое исполняемого файла в кодировке Base64. Если ошибок не возникает, a сообщение отправляется на C&C-сервер с Загрузить и выполнить файл успешно or Загрузить файл успешно без выполнения (зашифровано). Если во время выполнения файла возникают ошибки, f сообщение отправлено. Если хэш MD5 содержимого файла не соответствует предоставленному хешу, e (CRC_ОШИБКА) сообщение отправляется на командный сервер (включая только используемый ключ шифрования и никакой другой информации). Использование термина Загрузите Это потенциально может сбить с толку, поскольку операторы и программисты Ballistic Bobcat принимают точку зрения со стороны сервера, тогда как многие могут рассматривать это как загрузку, основанную на извлечении файла (т. е. его загрузке) системой с использованием бэкдора Sponsor.
u	Попытка загрузить файл с помощью URLСкачатьФайлW Windows API и выполните его. Успех посылает a сообщение с использованным ключом шифрования и никакой другой информацией. Неудача посылает f сообщение с аналогичной структурой.
s	Выполняет файл, уже находящийся на диске, Удалить.bat в текущем рабочем каталоге, который, скорее всего, содержит команды для удаления файлов, связанных с бэкдором.
n	Эта команда может быть явно предоставлена ​​оператором или может быть определена Спонсором как команда, которую необходимо выполнить в отсутствие какой-либо другой команды. Упоминается внутри Спонсора как NO_CMD, он выполняет случайный переход в режим сна перед повторной проверкой на C&C-сервере.
b	Обновляет список C&C, хранящихся в config.txt в текущем рабочем каталоге. Новые адреса C&C заменяют предыдущие; они не добавляются в список. Он отправляет a сообщение с Новые реле успешно заменены (в зашифрованном виде) на C&C-сервер в случае успешного обновления.
i	Обновляет заранее заданный интервал регистрации, указанный в config.txt. Он отправляет a сообщение с Новый интервал успешно заменен на C&C-сервер в случае успешного обновления.

Обновления спонсора

Программисты Ballistic Bobcat внесли изменения в код между Sponsor v1 и v2. Двумя наиболее значительными изменениями в последнем являются:

• Оптимизация кода, при которой несколько более длинных функций были сведены к минимуму в функции и подфункции, и
• Маскировка Sponsor под программу обновления путем включения следующего сообщения в конфигурацию службы:

Обновления приложений полезны как для пользователей приложений, так и для самих приложений. Обновления означают, что разработчики постоянно работают над улучшением приложения, помня об улучшении качества обслуживания клиентов с каждым обновлением.

Сетевая инфраструктура

В дополнение к инфраструктуре C&C, используемой в кампании PowerLess, Ballistic Bobcat также представила новый C&C-сервер. Группа также использовала несколько IP-адресов для хранения и доставки инструментов поддержки во время кампании «Спонсорский доступ». Мы подтвердили, что ни один из этих IP-адресов в настоящее время не работает.

Заключение

Ballistic Bobcat продолжает работать по модели сканирования и эксплуатации, отыскивая возможности с помощью неисправленных уязвимостей на серверах Microsoft Exchange, доступных в Интернете. Группа продолжает использовать разнообразный набор инструментов с открытым исходным кодом, дополненный несколькими специальными приложениями, включая бэкдор Sponsor. Защитникам рекомендуется исправлять любые устройства, подключенные к Интернету, и сохранять бдительность в отношении новых приложений, появляющихся в их организациях.

По любым вопросам о наших исследованиях, опубликованных на WeLiveSecurity, обращайтесь к нам по адресу угрозаintel@eset.com.
ESET Research предлагает частные аналитические отчеты об APT и потоки данных. По любым вопросам, связанным с этой услугой, посетите ESET Аналитика угроз стр.

МНК

Файлы

SHA-1	Имя файла	обнаружение	Описание
098B9A6CE722311553E1D8AC5849BA1DC5834C52	Нет	Win32/Агент.UXG	Бэкдор Ballistic Bobcat, Спонсор (v1).
5AEE3C957056A8640041ABC108D0B8A3D7A02EBD	Нет	Win32/Агент.UXG	Бэкдор Ballistic Bobcat, Спонсор (v2).
764EB6CA3752576C182FC19CFF3E86C38DD51475	Нет	Win32/Агент.UXG	Бэкдор Ballistic Bobcat, Спонсор (v3).
2F3EDA9D788A35F4C467B63860E73C3B010529CC	Нет	Win32/Агент.UXG	Бэкдор Ballistic Bobcat, Спонсор (v4).
E443DC53284537513C00818392E569C79328F56F	Нет	Win32/Агент.UXG	Бэкдор Ballistic Bobcat, Спонсор (v5, он же Alumina).
C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61	Нет	WinGo/Агент.BT	Обратный туннель RevSocks.
39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6	Нет	чистым	ProcDump — утилита командной строки для мониторинга приложений и создания аварийных дампов.
A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A	Нет	Генерик.EYWYQYF	Мимикац.
5D60C8507AC9B840A13FFDF19E3315A3E14DE66A	Нет	WinGo/Riskware.Гост.Д	ГО Простой Тоннель (ГОСТ).
50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617	Нет	WinGo/HackTool.Chisel.A	Долото обратного тоннеля.
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252	Нет	Нет	Инструмент обнаружения Host2IP.
519CA93366F1B1D71052C6CE140F5C80CE885181	Нет	Win64/Упакованный.Enigma.BV	Туннель RevSocks, защищенный пробной версией программного обеспечения Enigma Protector.
4709827C7A95012AB970BF651ED5183083366C79	Нет	Нет	Plink (PuTTY Link), инструмент подключения из командной строки.
99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8	Нет	Win32/PSWTool.WebBrowserPassView.I	Инструмент восстановления паролей, хранящихся в веб-браузерах.
E52AA118A59502790A4DD6625854BD93C0DEAF27	Нет	MSIL/HackTool.SQLDump.A	Инструмент для взаимодействия с базами данных SQL и извлечения данных из них.

 

Пути к файлам

Ниже приведен список путей, по которым бэкдор Sponsor был развернут на пострадавших машинах.

%SYSTEMDRIVE%inetpubwwwrootaspnet_client

%USERPROFILE%AppDataLocalTempfile

%USERPROFILE%AppDataLocalTemp2low

% USERPROFILE% рабочий стол

%USERPROFILE%Загрузкиa

%ВИНДИР%

%WINDIR%INFMSExchange DSN доставки

%WINDIR%Задачи

%WINDIR%Temp%WINDIR%Tempcrashpad1Files

Cеть

IP	Поставщик	Впервые увидели	Последний визит	Подробнее
162.55.137[.]20	Хетцнер Онлайн ГМБХ	2021-06-14	2021-06-15	PowerLess C&C.
37.120.222[.]168	М247 ООО	2021-11-28	2021-12-12	Спонсор C&C.
198.144.189[.]74	Колокроссинг	2021-11-29	2021-11-29	Сайт загрузки инструментов поддержки.
5.255.97[.]172	Инфраструктура Групп Б.В.	2021-09-05	2021-10-28	Сайт загрузки инструментов поддержки.

Эта таблица была построена с использованием версия 13 фреймворка MITRE ATT&CK.

тактика	ID	Имя	Описание
разведывательный	T1595	Активное сканирование: сканирование уязвимостей	Ballistic Bobcat сканирует уязвимые версии серверов Microsoft Exchange для использования.
Развитие ресурсов	T1587.001	Возможности развития: вредоносное ПО	Компания Ballistic Bobcat разработала и закодировала бэкдор Sponsor.
	T1588.002	Получить возможности: инструмент	Ballistic Bobcat использует различные инструменты с открытым исходным кодом в рамках кампании Sponsoring Access.
Первоначальный доступ	T1190	Использование общедоступного приложения	Ballistic Bobcat нацелен на пользователей, разоблаченных в Интернете  Серверы Microsoft Exchange.
Типы	T1059.003	Интерпретатор команд и сценариев: командная оболочка Windows	Бэкдор Sponsor использует командную оболочку Windows для выполнения команд в системе жертвы.
	T1569.002	Системные услуги: выполнение услуг	Бэкдор Sponsor позиционирует себя как сервис и запускает свои основные функции после выполнения сервиса.
Настойчивость	T1543.003	Создать или изменить системный процесс: служба Windows	Спонсор поддерживает постоянство, создавая сервис с автоматическим запуском, который циклически выполняет свои основные функции.
Повышение привилегий	T1078.003	Действительные учетные записи: локальные учетные записи	Операторы Ballistic Bobcat пытаются украсть учетные данные действительных пользователей после первоначального взлома системы перед развертыванием бэкдора Sponsor.
Уклонение от защиты	T1140	Деобфускация/декодирование файлов или информации	Спонсор хранит информацию на диске в зашифрованном и запутанном виде и деобфускирует ее во время выполнения.
	T1027	Замаскированные файлы или информация	Файлы конфигурации, которые требуется бэкдору Sponsor на диске, зашифрованы и запутаны.
	T1078.003	Действительные учетные записи: локальные учетные записи	Спонсор выполняется с правами администратора, вероятно, с использованием учетных данных, найденных операторами на диске; наряду с безобидными соглашениями об именах Ballistic Bobcat, это позволяет Sponsor сливаться с фоном.
Доступ к учетным данным	T1555.003	Учетные данные из хранилищ паролей: Учетные данные из веб-браузеров	Операторы Ballistic Bobcat используют инструменты с открытым исходным кодом для кражи учетных данных из хранилищ паролей внутри веб-браузеров.
Открытие	T1018	Удаленное обнаружение системы	Ballistic Bobcat использует инструмент Host2IP, ранее использовавшийся Agrius, для обнаружения других систем в доступных сетях и сопоставления их имен хостов и IP-адресов.
Управление и контроль	T1001	Обфускация данных	Бэкдор Sponsor запутывает данные перед отправкой их на командный сервер.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• ЧартПрайм. Улучшите свою торговую игру с ChartPrime. Доступ здесь.
• Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
• Источник: https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/