Raziskovalci ESET-a so odkrili kampanjo Ballistic Bobcat, ki cilja na različne subjekte v Braziliji, Izraelu in Združenih arabskih emiratih, z uporabo novih zakulisnih vrat, ki smo jih poimenovali Sponzor.
Sponzorja smo odkrili, potem ko smo maja 2022 analizirali zanimiv vzorec, ki smo ga odkrili v sistemu žrtve v Izraelu, in določili obseg žrtev po državah. Po pregledu nam je postalo očitno, da je bil vzorec nova stranska vrata, ki jih je uporabila skupina Ballistic Bobcat APT.
Ballistic Bobcat, ki ga je ESET Research predhodno izsledil kot APT35/APT42 (aka Charming Kitten, TA453 ali PHOSPHORUS), je domnevno Napredna vztrajna skupina groženj, povezana z Iranom ki cilja na izobraževalne, vladne in zdravstvene organizacije ter aktiviste za človekove pravice in novinarje. Najbolj aktivna je v Izraelu, na Bližnjem vzhodu in v ZDA. Predvsem je med pandemijo ciljal na organizacije, povezane s COVID-19, vključno s Svetovno zdravstveno organizacijo in Gilead Pharmaceuticals, ter medicinsko raziskovalno osebje.
Prekrivanja med kampanjami Ballistic Bobcat in Sponsor Backdoor različice prikazujejo dokaj jasen vzorec razvoja in uvajanja orodij z ozko ciljanimi kampanjami, od katerih ima vsaka omejeno trajanje. Kasneje smo odkrili štiri druge različice stranskih vrat Sponsor. Skupno smo videli, da je Sponsor nameščen na najmanj 34 žrtvah v Braziliji, Izraelu in Združenih arabskih emiratih, kot je opisano v REF _Ref143075975 h Slika 1
.
Ključne točke te objave v spletnem dnevniku:
- Odkrili smo nova stranska vrata, ki jih je uporabil Ballistic Bobcat in smo jih pozneje poimenovali Sponzor.
- Ballistic Bobcat je nova zadnja vrata uvedel septembra 2021, medtem ko je zaključeval kampanjo, dokumentirano v opozorilu CISA AA21-321A, in kampanjo PowerLess.
- Backdoor Sponsor uporablja konfiguracijske datoteke, shranjene na disku. Te datoteke so diskretno razporejene s paketnimi datotekami in so namerno oblikovane tako, da so videti neškodljive, s čimer se poskušajo izogniti odkrivanju motorjev za skeniranje.
- Sponsor je bil napoten na najmanj 34 žrtev v Braziliji, Izraelu in Združenih arabskih emiratih; to aktivnost smo poimenovali kampanja Sponzorski dostop.
Začetni dostop
Ballistic Bobcat je pridobil začetni dostop z izkoriščanjem znanih ranljivosti v strežnikih Microsoft Exchange, ki so bili izpostavljeni internetu, tako da je najprej izvedel natančen pregled sistema ali omrežja, da bi prepoznal morebitne slabosti ali ranljivosti, nato pa ciljal in izkoristil te ugotovljene slabosti. Znano je, da se skupina že nekaj časa ukvarja s tem vedenjem. Vendar bi bilo veliko od 34 žrtev, identificiranih v telemetriji ESET, najbolje opisati kot žrtve priložnosti in ne vnaprej izbrane in raziskane žrtve, saj sumimo, da je Ballistic Bobcat sodeloval pri zgoraj opisanem vedenju skeniranja in izkoriščanja, ker to ni bila edina grožnja igralec z dostopom do teh sistemov. To dejavnost Ballistic Bobcat, ki uporablja zakulisna vrata sponzorja, smo poimenovali kampanja Sponzorski dostop.
Zakulisna vrata sponzorja uporabljajo konfiguracijske datoteke na disku, ki jih odstranijo paketne datoteke, in obe sta neškodljivi, tako da zaobidejo mehanizme za skeniranje. Ta modularni pristop je Ballistic Bobcat uporabljal precej pogosto in s skromnim uspehom v zadnjih dveh letih in pol. Na ogroženih sistemih Ballistic Bobcat prav tako še naprej uporablja različna odprtokodna orodja, ki jih opisujemo – skupaj z zadnjimi vrati Sponsorja – v tej objavi v spletnem dnevniku.
Viktimologija
Precejšnja večina od 34 žrtev je bila v Izraelu, le dve pa sta bili v drugih državah:
- Brazilija, pri zdravstveni zadrugi in operaterju zdravstvenega zavarovanja, in
- Združenih arabskih emiratih, pri neidentificirani organizaciji.
REF _Ref112861418 h Tabela 1
opisuje vertikale in organizacijske podrobnosti za žrtve v Izraelu.
Tabela Tabela SEQ * ARABSKI 1. Vertikale in organizacijske podrobnosti za žrtve v Izraelu
Navpični |
podrobnosti |
Avtomobilizem |
· Avtomobilsko podjetje, specializirano za predelave po meri. · Podjetje za popravilo in vzdrževanje avtomobilov. |
Communications |
· Izraelski medij. |
Inženiring |
· Gradbeno podjetje. · Podjetje za okoljski inženiring. · Podjetje za arhitekturno projektiranje. |
Finančne storitve |
· Podjetje za finančne storitve, specializirano za investicijsko svetovanje. · Podjetje, ki upravlja licenčnine. |
Zdravstveno varstvo |
· Ponudnik zdravstvene oskrbe. |
Zavarovanje |
· Zavarovalnica, ki upravlja zavarovalniški trg. · Komercialna zavarovalnica. |
zakon |
· Podjetje, specializirano za medicinsko pravo. |
predelovalne dejavnosti |
· Več podjetij za proizvodnjo elektronike. · Podjetje, ki proizvaja komercialne izdelke na osnovi kovin. · Multinacionalno tehnološko proizvodno podjetje. |
Maloprodaja |
· Trgovec s hrano. · Multinacionalni trgovec z diamanti. · Prodajalec izdelkov za nego kože. · Prodajalec in monter oken. · Globalni dobavitelj elektronskih delov. · Dobavitelj nadzora fizičnega dostopa. |
Tehnologija |
· Tehnološko podjetje za IT storitve. · Ponudnik IT rešitev. |
Telekomunikacije |
· Telekomunikacijsko podjetje. |
Neznanka |
· Več neidentificiranih organizacij. |
Pripis
Avgusta 2021 je zgornjo izraelsko žrtev, ki upravlja zavarovalniški trg, napadel Ballistic Bobcat z orodjem CISA je poročala novembra 2021. Indikatorji kompromisa, ki smo jih opazili, so:
- MicrosoftOutlookUpdateSchedule,
- MicrosoftOutlookUpdateSchedule.xml,
- GoogleChangeManagementin
- GoogleChangeManagement.xml.
Balistična orodja Bobcat so komunicirala z istim strežnikom za poveljevanje in nadzor (C&C) kot v poročilu CISA: 162.55.137[.]20.
Nato je septembra 2021 ista žrtev prejela naslednjo generacijo orodij Ballistic Bobcat: Zadnja vrata brez moči in njegov podporni nabor orodij. Indikatorji kompromisa, ki smo jih opazili, so bili:
- http://162.55.137[.]20/gsdhdDdfgA5sS/ff/dll.dll,
- windowsprocesses.exein
- http://162.55.137[.]20/gsdhdDdfgA5sS/ff/windowsprocesses.exe.
18. novembrath2021 je skupina nato uvedla drugo orodje (Plink), ki je bilo zajeto v poročilu CISA, kot MicrosoftOutLookUpdater.exe. Deset dni kasneje, 28. novembrath, 2021, Ballistic Bobcat je uporabil agent Merlin (zastopniški del an odprtokodni strežnik in agent C&C po izkoriščanju, napisan v Go). Na disku je bil ta agent Merlin imenovan googleUpdate.exe, z uporabo iste konvencije o poimenovanju, kot je opisano v poročilu CISA, da se skrije na vidnem mestu.
Agent Merlin je izvedel povratno ukazno lupino Meterpreter, ki je priklicala nazaj nov C&C strežnik, 37.120.222[.]168:80. 12. decembrath, 2021, povratna lupina je spustila paketno datoteko, install.bat, in v nekaj minutah po izvedbi paketne datoteke so operaterji Ballistic Bobcat potisnili svoja najnovejša stranska vrata, Sponsor. To bi se izkazalo za tretjo različico backdoorja.
Tehnična analiza
Začetni dostop
Identificirali smo verjeten način začetnega dostopa za 23 od 34 žrtev, ki smo jih opazili v telemetriji ESET. Podobno kot so poročali v Brez moči in CISA poročila je Ballistic Bobcat verjetno izkoristil znano ranljivost, CVE-2021-26855, v strežnikih Microsoft Exchange, da bi pridobili oporo v teh sistemih.
Za 16 od 34 žrtev se zdi, da Ballistic Bobcat ni bil edini akter grožnje z dostopom do njihovih sistemov. To lahko nakazuje, skupaj s široko paleto žrtev in očitnim pomanjkanjem očitne obveščevalne vrednosti nekaj žrtev, da se je Ballistic Bobcat ukvarjal s pregledovanjem in izkoriščanjem, v nasprotju s ciljno usmerjeno kampanjo proti vnaprej izbranim žrtvam.
Nabor orodij
Odprtokodna orodja
Ballistic Bobcat je med kampanjo Sponsoring Access uporabil številna odprtokodna orodja. Ta orodja in njihove funkcije so navedene v REF _Ref112861458 h Tabela 2
.
Tabela Tabela SEQ * ARABSKI 2. Odprtokodna orodja, ki jih uporablja Ballistic Bobcat
Ime datoteke |
Opis |
host2ip.exe
|
Zemljevidi a ime gostitelja na naslov IP znotraj lokalnega omrežja. |
CSRSS.EXE
|
RevSocks, aplikacija za povratni tunel. |
mi.exe
|
Mimikatz, z izvirnim imenom datoteke midongle.exe in pakirano z Armadillo PE paker. |
gost.exe
|
GO Simple Tunnel (GOST), aplikacija za tuneliranje, napisana v Go. |
dleto.exe
|
Dleto, tunel TCP/UDP prek HTTP z uporabo plasti SSH. |
csrss_protected.exe
|
RevSocks tunel, zaščiten s preizkusno različico Programska zaščita Enigma Protector. |
plink.exe
|
Plink (PuTTY Link), orodje za povezavo ukazne vrstice. |
WebBrowserPassView.exe
|
A orodje za obnovitev gesla za gesla, shranjena v spletnih brskalnikih.
|
sqlextractor.exe
|
A orodje za interakcijo z bazami podatkov SQL in pridobivanje podatkov iz njih. |
procdump64.exe
|
ProcDumpA Pripomoček ukazne vrstice Sysinternals za nadzor aplikacij in ustvarjanje izpisov zrušitev. |
Paketne datoteke
Ballistic Bobcat je uvedel paketne datoteke v sisteme žrtev nekaj trenutkov pred uvedbo stranskih vrat sponzorja. Poti datotek, ki jih poznamo, so:
- C:inetpubwwwrootaspnet_clientInstall.bat
- %USERPROFILE%DesktopInstall.bat
- %WINDOWS%TasksInstall.bat
Na žalost nismo mogli pridobiti nobene od teh paketnih datotek. Vendar verjamemo, da na disk zapišejo neškodljive konfiguracijske datoteke, ki jih stranska vrata sponzorja potrebujejo za polno delovanje. Ta imena konfiguracijskih datotek so bila vzeta iz zakulisnih vrat sponzorja, vendar niso bila nikoli zbrana:
- config.txt
- vozlišče.txt
- error.txt
- Uninstall.bat
Verjamemo, da so paketne in konfiguracijske datoteke del modularnega razvojnega procesa, ki mu je Ballistic Bobcat dal prednost v zadnjih nekaj letih.
Sponzorska stranska vrata
Zakulisna vrata sponzorjev so napisana v C++ s časovnimi žigi prevajanja in potmi zbirke podatkov programa (PDB), kot je prikazano v REF _Ref112861527 h Tabela 3
. Opomba o številkah različic: stolpec različica predstavlja različico, ki ji interno sledimo na podlagi linearnega napredovanja stranskih vrat sponzorja, kjer se spremembe izvajajo iz ene različice v drugo. The Notranja različica stolpec vsebuje številke različice, opažene v vsakem Sponzorjevem backdoorju in so vključene za lažjo primerjavo pri pregledu teh in drugih potencialnih vzorcev Sponzorja.
Tabela 3. Sponzorirajte časovne žige kompilacije in PDB-je
različica |
Notranja različica |
Časovni žig kompilacije |
PPP |
1 |
1.0.0 |
2021-08-29 09:12:51 |
D:TempBD_Plus_SrvcReleaseBD_Plus_Srvc.pdb |
2 |
1.0.0 |
2021-10-09 12:39:15 |
D:TempSponsorReleaseSponsor.pdb |
3 |
1.4.0 |
2021-11-24 11:51:55 |
D:TempSponsorReleaseSponsor.pdb |
4 |
2.1.1 |
2022-02-19 13:12:07 |
D:TempSponsorReleaseSponsor.pdb |
5 |
1.2.3.0 |
2022-06-19 14:14:13 |
D:TempAluminaReleaseAlumina.pdb |
Začetna izvedba Sponsorja zahteva argument časa izvajanja namestitev, brez katerega Sponsor elegantno zapusti, verjetno preprosta tehnika proti emulaciji/proti peskovniku. Če je ta argument sprejet, Sponsor ustvari poklicano storitev SystemNetwork (v v1) in Nadgradnja (v vseh ostalih različicah). Določa storitev Vrsta zagona do Samodejno, in ga nastavi, da izvaja lasten proces sponzoriranja, ter mu podeli popoln dostop. Nato zažene storitev.
Sponsor, ki zdaj deluje kot storitev, poskuša odpreti zgoraj omenjene konfiguracijske datoteke, ki so bile predhodno nameščene na disku. Išče config.txt in vozlišče.txt, oba v trenutnem delovnem imeniku. Če prvi manjka, Sponzor nastavi storitev na Ustavljen in graciozno odide.
Backdoor konfiguracija
Konfiguracija sponzorja, shranjena v config.txt, vsebuje dve polji:
- Interval posodabljanja v sekundah za občasno vzpostavljanje stika s strežnikom C&C za ukaze.
- Seznam C&C strežnikov, imenovanih releji v Sponzorjevih binarnih datotekah.
C&C strežniki so shranjeni šifrirani (RC4), ključ za dešifriranje pa je prisoten v prvi vrstici config.txt. Vsako od polj, vključno s ključem za dešifriranje, ima prikazano obliko REF _Ref142647636 h Slika 3
.
Ta podpolja so:
- config_start: označuje dolžino ime_konfig, če je prisoten, ali nič, če ni. Uporabljajo ga zadnja vrata, da vedo, kje konfiguracijski_podatki se začne.
- config_len: dolžina konfiguracijski_podatki.
- ime_konfig: neobvezno, vsebuje ime konfiguracijskega polja.
- konfiguracijski_podatki: sama konfiguracija, šifrirana (v primeru C&C strežnikov) ali ne (vsa druga polja).
REF _Ref142648473 h Slika 4
prikazuje primer z barvno označeno vsebino možnega config.txt mapa. Upoštevajte, da to ni dejanska datoteka, ki smo jo opazili, ampak izmišljen primer.
Zadnji dve polji v config.txt so šifrirani z RC4, pri čemer kot ključ za šifriranje podatkov uporabljajo nizovno predstavitev razpršitve SHA-256 podanega ključa za dešifriranje. Vidimo, da so šifrirani bajti shranjeni šestnajstiško kodirani kot besedilo ASCII.
Zbiranje informacij gostitelja
Sponzor zbere informacije o gostitelju, na katerem deluje, vse zbrane informacije sporoči strežniku C&C in prejme ID vozlišča, ki je zapisan v vozlišče.txt. REF _Ref142653641 h Tabela 4
REF _Ref112861575 h
navaja ključe in vrednosti v registru Windows, ki jih sponzor uporablja za pridobivanje informacij, in ponuja primer zbranih podatkov.
Tabela 4. Informacije, ki jih je zbral sponzor
Registrski ključ |
vrednost |
Primer |
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
|
Ime gostitelja
|
D-835MK12
|
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTimeZoneInformation
|
TimeZoneKeyName
|
Izraelski standardni čas
|
HKEY_USERS.DEFAULTNadzorna ploščaInternational
|
LocaleName
|
on-IL
|
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemBIOS
|
BaseBoardProizvod
|
10NX0010IL
|
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessor
|
ProcessorNameString
|
CPU Intel(R) Core(TM) i7-8565U @ 1.80 GHz
|
HKEY_LOCAL_MACHINESOFTWAREMMicrosoftWindows NTCurrentVersion
|
Ime izdelka
|
Windows 10 EnterpriseN
|
CurrentVersion
|
6.3
|
|
CurrentBuildNumber
|
19044
|
|
InstallationType
|
Pomoč
|
Sponzor zbira tudi domeno Windows gostitelja z uporabo naslednjega WMIC ukaz:
wmic computersystem pridobi domeno
Nazadnje Sponsor uporablja Windows API-je za zbiranje trenutnega uporabniškega imena (GetUserNameW), ugotovite, ali se trenutni proces sponzorja izvaja kot 32- ali 64-bitna aplikacija (GetCurrentProcess, Potem IsWow64Process(CurrentProcess)) in določa, ali sistem deluje na baterijsko napajanje ali je priključen na vir napajanja AC ali DC (GetSystemPowerStatus).
Ena nenavadnost v zvezi s preverjanjem 32- ali 64-bitne aplikacije je, da so bili vsi opazovani vzorci Sponsorja 32-bitni. To lahko pomeni, da nekatera orodja naslednje stopnje zahtevajo te informacije.
Zbrane informacije se pošljejo v sporočilu, kodiranem z base64, ki se pred kodiranjem začne z r in ima prikazano obliko REF _Ref142655224 h Slika 5
.
Informacije so šifrirane z RC4, šifrirni ključ pa je naključna številka, ki se generira na kraju samem. Ključ je zgoščen z algoritmom MD5 in ne s SHA-256, kot je bilo omenjeno prej. To velja za vse komunikacije, pri katerih mora sponzor poslati šifrirane podatke.
Strežnik C&C odgovori s številko, ki se uporablja za identifikacijo prizadetega računalnika v poznejših komunikacijah in se napiše na vozlišče.txt. Upoštevajte, da je strežnik C&C naključno izbran s seznama, ko je r sporočilo je poslano in isti strežnik se uporablja v vseh naslednjih komunikacijah.
Zanka obdelave ukazov
Sponzor zahteva ukaze v zanki, ki spi v skladu z intervalom, določenim v config.txt. Koraki so:
- Pošlji a chk=Preizkus sporočilo večkrat, dokler strežnik C&C ne odgovori Ok.
- Pošlji a c (IS_CMD_AVAIL) sporočilo strežniku C&C in prejmete ukaz operaterja.
- Obdelajte ukaz.
- Če obstaja izhod, ki ga je treba poslati strežniku C&C, pošljite a (ACK) sporočilo, vključno z izhodom (šifrirano), oz
- Če izvedba ni uspela, pošljite f
(
USPELA) sporočilo. Sporočilo o napaki ni poslano.
- Sleep.
O c sporočilo je poslano za zahtevo po ukazu za izvedbo in ima obliko (pred kodiranjem base64), prikazano v REF _Ref142658017 h Slika 6
.
O šifrirano_brez polje na sliki je rezultat šifriranja trdo kodiranega niza Noben z RC4. Ključ za šifriranje je zgoščena vrednost MD5 node_id.
URL, ki se uporablja za vzpostavitev stika s strežnikom C&C, je sestavljen kot: http://<IP_or_domain>:80. To lahko pomeni, da 37.120.222[.]168:80 je edini strežnik C&C, uporabljen v celotni kampanji Sponsoring Access, saj je bil to edini naslov IP, za katerega smo opazili, da so žrtev stroji dosegli dostop do vrat 80.
Ukazi operaterja
Ukazi operaterja so razmejeni v REF _Ref112861551 h Tabela 5
in se prikažejo v vrstnem redu, v katerem so najdeni v kodi. Komunikacija s strežnikom C&C poteka prek vrat 80.
Tabela 5. Operaterski ukazi in opisi
Ukaz |
Opis |
p |
Pošlje ID procesa za izvajajoči se sponzorski proces. |
e |
Izvede ukaz, kot je določen v naslednjem dodatnem argumentu, na gostitelju sponzorja z uporabo naslednjega niza: c:windowssystem32cmd.exe /c > rezultat.txt 2>&1 Rezultati so shranjeni v rezultat.txt v trenutnem delovnem imeniku. Pošlje a sporočilo s šifriranim izhodom strežniku C&C, če je uspešno izvedeno. Če ne uspe, pošlje f sporočilo (brez navedbe napake). |
d |
Prejme datoteko s strežnika C&C in jo izvede. Ta ukaz ima veliko argumentov: ciljno ime datoteke, v katero želite zapisati datoteko, zgoščeno vrednost MD5 datoteke, imenik, v katerega želite zapisati datoteko (ali trenutni delovni imenik, privzeto), logično vrednost, ki označuje, ali naj se datoteka zažene ali ne, in vsebino izvršljive datoteke, kodirane base64. Če se ne pojavi nobena napaka, an a sporočilo je poslano strežniku C&C z Uspešno nalaganje in izvedba datoteke or Datoteka je bila uspešno naložena brez izvajanja (šifrirano). Če med izvajanjem datoteke pride do napak, an f sporočilo je poslano. Če se zgoščena vrednost MD5 vsebine datoteke ne ujema s podano zgoščeno vrednostjo, se an e (CRC_ERROR) sporočilo je poslano strežniku C&C (vključno samo z uporabljenim šifrirnim ključem in brez drugih informacij). Uporaba izraza Pošiljanje tukaj je lahko zmedeno, saj operaterji in kodirniki Ballistic Bobcat zavzamejo stališče s strani strežnika, medtem ko bi mnogi to lahko videli kot prenos, ki temelji na vlečenju datoteke (tj. njenem prenosu) s strani sistema, ki uporablja stranska vrata sponzorja. |
u |
Poskusi prenesti datoteko z uporabo URLDownloadFileW Windows API in ga izvedite. Uspeh pošlje a sporočilo z uporabljenim šifrirnim ključem in brez drugih informacij. Napaka pošlje f sporočilo s podobno strukturo. |
s |
Izvede datoteko, ki je že na disku, Uninstall.bat v trenutnem delovnem imeniku, ki najverjetneje vsebuje ukaze za brisanje datotek, povezanih z zadnjimi vrati. |
n |
Ta ukaz lahko izrecno posreduje operater ali pa ga Sponzor sklepa kot ukaz za izvedbo v odsotnosti katerega koli drugega ukaza. V Sponzorju navedeno kot NO_CMD, izvede naključno spanje, preden se ponovno prijavi na strežnik C&C. |
b |
Posodobi seznam C&C, shranjenih v config.txt v trenutnem delovnem imeniku. Novi C&C naslovi nadomestijo prejšnje; niso dodani na seznam. Pošlje a sporočilo z |
i |
Posodobi vnaprej določen interval prijave, naveden v config.txt. Pošlje a sporočilo z Nov interval je bil uspešno zamenjan na strežnik C&C, če je uspešno posodobljen. |
Posodobitve za sponzorja
Kodirniki Ballistic Bobcat so naredili revizije kode med sponzorjem v1 in v2. Dve najpomembnejši spremembi pri slednjem sta:
- Optimizacija kode, kjer je bilo več daljših funkcij minimiziranih v funkcije in podfunkcije ter
- Preobleka sponzorja v program za posodabljanje z vključitvijo naslednjega sporočila v konfiguracijo storitve:
Posodobitve aplikacij so odlične tako za uporabnike aplikacij kot za aplikacije – posodobitve pomenijo, da razvijalci vedno delajo na izboljšavah aplikacije, pri čemer imajo v mislih boljšo uporabniško izkušnjo z vsako posodobitvijo.
Mrežna infrastruktura
Poleg povezovanja s C&C infrastrukturo, uporabljeno v kampanji PowerLess, je Ballistic Bobcat predstavil tudi nov C&C strežnik. Skupina je uporabila tudi več IP-jev za shranjevanje in dostavo podpornih orodij med kampanjo Sponsoring Access. Potrdili smo, da nobeden od teh naslovov IP trenutno ne deluje.
zaključek
Ballistic Bobcat še naprej deluje po modelu skeniranja in izkoriščanja ter išče tarče priložnosti z nepopravljenimi ranljivostmi v internetno izpostavljenih strežnikih Microsoft Exchange. Skupina še naprej uporablja raznolik nabor odprtokodnih orodij, ki ga dopolnjuje več aplikacij po meri, vključno z zadnjimi vrati Sponsor. Zagovornikom bi bilo dobro svetovati, da popravijo vse naprave, ki so izpostavljene internetu, in ostanejo pozorni na nove aplikacije, ki se pojavljajo v njihovih organizacijah.
Za vsa vprašanja o naši raziskavi, objavljeni na WeLiveSecurity, nas kontaktirajte na grožnjaintel@eset.com.
ESET Research ponuja zasebna obveščevalna poročila APT in vire podatkov. Za vsa vprašanja o tej storitvi obiščite ESET Threat Intelligence stran.
IoC
datoteke
SHA-1 |
Ime datoteke |
Odkrivanje |
Opis |
098B9A6CE722311553E1D8AC5849BA1DC5834C52
|
N / A |
Win32/Agent.UXG |
Balistična zadnja vrata Bobcat, Sponzor (v1). |
5AEE3C957056A8640041ABC108D0B8A3D7A02EBD
|
N / A |
Win32/Agent.UXG |
Balistična zadnja vrata Bobcat, Sponzor (v2). |
764EB6CA3752576C182FC19CFF3E86C38DD51475
|
N / A |
Win32/Agent.UXG |
Balistična zadnja vrata Bobcat, Sponzor (v3). |
2F3EDA9D788A35F4C467B63860E73C3B010529CC
|
N / A |
Win32/Agent.UXG |
Balistična zadnja vrata Bobcat, Sponzor (v4). |
E443DC53284537513C00818392E569C79328F56F
|
N / A |
Win32/Agent.UXG |
Balistična zadnja vrata Bobcat, Sponzor (v5, alias Alumina). |
C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61
|
N / A |
WinGo/Agent.BT |
Povratni tunel RevSocks. |
39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6
|
N / A |
čiščenje |
ProcDump, pripomoček ukazne vrstice za nadzor aplikacij in ustvarjanje izpisov zrušitve. |
A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A
|
N / A |
Generik.EYWYQYF |
Mimikatz. |
5D60C8507AC9B840A13FFDF19E3315A3E14DE66A
|
N / A |
WinGo/Riskware.Gost.D |
GO Simple Tunnel (GOST). |
50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617
|
N / A |
WinGo/HackTool.Chisel.A |
Dleta vzvratni tunel. |
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252
|
N / A |
N / A |
Orodje za odkrivanje Host2IP. |
519CA93366F1B1D71052C6CE140F5C80CE885181
|
N / A |
Win64/Packed.Enigma.BV |
Tunel RevSocks, zaščiten s preizkusno različico programske zaščite Enigma Protector. |
4709827C7A95012AB970BF651ED5183083366C79
|
N / A |
N / A |
Plink (PuTTY Link), orodje za povezavo ukazne vrstice. |
99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8
|
N / A |
Win32/PSWTool.WebBrowserPassView.I |
Orodje za obnovitev gesel za gesla, shranjena v spletnih brskalnikih. |
E52AA118A59502790A4DD6625854BD93C0DEAF27
|
N / A |
MSIL/HackTool.SQLDump.A |
Orodje za interakcijo z bazami podatkov SQL in pridobivanje podatkov iz njih. |
Poti datotek
Sledi seznam poti, kjer so bila stranska vrata sponzorja nameščena na žrtev strojih.
%SYSTEMDRIVE%inetpubwwwrootaspnet_client
%USERPROFILE%AppDataLocalTempfile
%USERPROFILE%AppDataLocalTemp2low
%USERPROFILE%Namizje
%USERPROFILE%Prenosisa
%WINDIR%
%WINDIR%INFMSExchange DSN dostave
%WINDIR%Opravila
%WINDIR%Temp%WINDIR%Tempcrashpad1Datoteke
mreža
IP
ponudnik
Prvič viden
Zadnjič viden
podrobnosti
162.55.137[.]20
Hetzner Online GMBH
2021-06-14
2021-06-15
C&C brez moči.
37.120.222[.]168
M247 LTD
2021-11-28
2021-12-12
Sponzor C&C.
198.144.189[.]74
Kolokrosing
2021-11-29
2021-11-29
Spletno mesto za prenos orodij za podporo.
5.255.97[.]172
The Infrastructure Group BV
2021-09-05
2021-10-28
Spletno mesto za prenos orodij za podporo.
IP
ponudnik
Prvič viden
Zadnjič viden
podrobnosti
162.55.137[.]20
Hetzner Online GMBH
2021-06-14
2021-06-15
C&C brez moči.
37.120.222[.]168
M247 LTD
2021-11-28
2021-12-12
Sponzor C&C.
198.144.189[.]74
Kolokrosing
2021-11-29
2021-11-29
Spletno mesto za prenos orodij za podporo.
5.255.97[.]172
The Infrastructure Group BV
2021-09-05
2021-10-28
Spletno mesto za prenos orodij za podporo.
Ta tabela je bila izdelana z uporabo različica 13 okvira MITER ATT&CK.
Taktika |
ID |
Ime |
Opis |
Izviđanje |
Aktivno skeniranje: Iskanje ranljivosti |
Ballistic Bobcat išče ranljive različice strežnikov Microsoft Exchange za izkoriščanje. |
|
Razvoj virov |
Razviti zmogljivosti: zlonamerna programska oprema |
Ballistic Bobcat je zasnoval in kodiral stranska vrata sponzorja. |
|
Pridobite zmogljivosti: orodje |
Ballistic Bobcat uporablja različna odprtokodna orodja kot del kampanje Sponsoring Access. |
||
Začetni dostop |
Izkoriščanje javne aplikacije |
Ballistic Bobcat cilja internetno izpostavljeno strežniki Microsoft Exchange. |
|
Izvedba |
Tolmač ukazov in skriptov: ukazna lupina Windows |
Backdoor Sponsor uporablja ukazno lupino Windows za izvajanje ukazov v sistemu žrtve. |
|
Sistemske storitve: Izvajanje storitve |
Zakulisna vrata sponzorja se nastavijo kot storitev in sprožijo svoje primarne funkcije po izvedbi storitve. |
||
Vztrajnost |
Ustvarite ali spremenite sistemski proces: storitev Windows |
Sponsor ohranja vztrajnost z ustvarjanjem storitve s samodejnim zagonom, ki svoje primarne funkcije izvaja v zanki. |
|
Privilegiranje |
Veljavni računi: lokalni računi |
Operaterji Ballistic Bobcat poskušajo ukrasti poverilnice veljavnih uporabnikov, potem ko prvotno izkoristijo sistem, preden namestijo stranska vrata sponzorja. |
|
Izmikanje obrambi |
Razmegljevanje/dekodiranje datotek ali informacij |
Sponsor shranjuje informacije na disk, ki je šifriran in zakrit, ter jih razkriva med izvajanjem. |
|
Zakrite datoteke ali informacije |
Konfiguracijske datoteke, ki jih stranska vrata sponzorja zahtevajo na disku, so šifrirane in zakrite. |
||
Veljavni računi: lokalni računi |
Sponzor se izvaja s skrbniškimi pravicami, verjetno z uporabo poverilnic, ki so jih operaterji našli na disku; skupaj z neškodljivimi konvencijami poimenovanja Ballistic Bobcat to omogoča Sponsorju, da se zlije z ozadjem. |
||
Dostop s poverilnicami |
Poverilnice iz shramb gesel: Poverilnice iz spletnih brskalnikov |
Operaterji Ballistic Bobcat uporabljajo odprtokodna orodja za krajo poverilnic iz shramb gesel znotraj spletnih brskalnikov. |
|
Discovery |
Odkrivanje sistema na daljavo |
Ballistic Bobcat uporablja orodje Host2IP, ki ga je prej uporabljal Agrius, da odkrije druge sisteme znotraj dosegljivih omrežij in poveže njihova imena gostiteljev in naslove IP. |
|
Poveljevanje in nadzor |
Zakrivanje podatkov |
Sponzorjeva zadnja vrata zakrijejo podatke, preden jih pošljejo strežniku C&C. |
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Avtomobili/EV, Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- ChartPrime. Izboljšajte svojo igro trgovanja s ChartPrime. Dostopite tukaj.
- BlockOffsets. Posodobitev okoljskega offset lastništva. Dostopite tukaj.
- vir: https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/
- :ima
- : je
- :ne
- :kje
- $GOR
- 09
- 1
- 10
- 11
- 12
- 13
- 14
- 15%
- 150
- 16
- 179
- 20
- 2021
- 2022
- 23
- 24
- 25
- 31
- 39
- 51
- 60
- 7
- 8
- 80
- 9
- a
- Sposobna
- O meni
- nad
- AC
- dostop
- Po
- računi
- aktivna
- Aktivisti
- dejavnost
- dejanska
- dodano
- Poleg tega
- Dodatne
- Naslov
- naslovi
- admin
- napredno
- po
- proti
- Agent
- aka
- Opozorite
- algoritem
- vsi
- omogoča
- skupaj
- že
- Prav tako
- vedno
- an
- analizirati
- in
- Še ena
- kaj
- API
- API-ji
- aplikacija
- očitno
- zdi
- se prikaže
- uporaba
- aplikacije
- pristop
- aplikacije
- APT
- arab
- Arabski emirati
- arabski
- architectural
- SE
- Argument
- Argumenti
- AS
- vprašati
- At
- poskus
- Poskusi
- Avgust
- Samodejno
- avtomobilska
- zaveda
- nazaj
- Zakulisni
- Skrite
- ozadje
- temeljijo
- baterija
- BE
- postal
- ker
- bilo
- pred
- vedenje
- Verjemite
- BEST
- Boljše
- med
- Blend
- tako
- Brazilija
- brskalniki
- zgrajena
- vendar
- by
- C + +
- se imenuje
- Akcija
- Kampanje
- CAN
- Zmogljivosti
- ki
- primeru
- center
- Spremembe
- preveriti
- preverjanje
- izbran
- civilna
- jasno
- Koda
- kodirano
- zbiranje
- Stolpec
- COM
- komercialna
- Komunikacija
- Communications
- Podjetja
- podjetje
- Primerjava
- Kompromis
- Ogroženo
- računalnik
- vodenje
- konfiguracija
- POTRJENO
- zmedeno
- povezane
- povezava
- kontakt
- Vsebuje
- Vsebina
- se nadaljuje
- nadzor
- Konvencija
- zadruga
- bi
- države
- država
- zajeti
- Crash
- ustvari
- Ustvarjanje
- Mandatno
- Trenutna
- po meri
- stranka
- Izkušnje s strankami
- datum
- Baze podatkov
- baze podatkov
- Dnevi
- dc
- december
- privzeto
- Branilci
- opredeljen
- poda
- dostava
- razporejeni
- uvajanja
- uvajanje
- opisati
- opisano
- Oblikovanje
- zasnovan
- Podrobnosti
- Zaznali
- Odkrivanje
- Ugotovite,
- določa
- Razvijalci
- Razvoj
- naprave
- Diamond
- odkriti
- odkril
- Odkritje
- distribucija
- razne
- ne
- domena
- prenesi
- padla
- trajanje
- med
- e
- vsak
- enostavnost
- East
- Izobraževanje
- Electronic
- Elektronika
- emirates
- zaposleni
- šifriran
- šifriranje
- sodelovati
- , ki se ukvarjajo
- Inženiring
- Motorji
- Enigma
- Podjetje
- subjekti
- okolja
- Napaka
- napake
- ESET Raziskave
- očitno
- Preučevanje
- Primer
- Izmenjava
- izvršiti
- izvršeno
- Izvaja
- izvršitve
- izvedba
- izhodi
- izkušnje
- Izkoristite
- Exploited
- izkoriščanje
- ni uspelo
- Napaka
- pošteno
- Nekaj
- Polje
- Področja
- Slika
- file
- datoteke
- finančna
- finančne storitve
- podjetje za finančne storitve
- Firm
- prva
- po
- hrana
- za
- format
- je pokazala,
- štiri
- iz
- polno
- v celoti
- funkcija
- funkcije
- Gain
- zbranih
- ustvarila
- ustvarjajo
- generacija
- geografsko
- dobili
- dana
- Globalno
- Go
- vlada
- nepovratna sredstva
- veliko
- skupina
- Pol
- hash
- ošišan
- Imajo
- Zdravje
- zdravstveno zavarovanje
- zdravstveno varstvo
- tukaj
- Skrij
- gostitelj
- Vendar
- HTML
- http
- HTTPS
- človeškega
- človekove pravice
- i
- ID
- identificirati
- identificirati
- if
- slika
- izboljšanju
- in
- V drugi
- vključeno
- Vključno
- Navedite
- označuje
- kazalniki
- Podatki
- Infrastruktura
- začetna
- na začetku
- Iniciatorji
- Poizvedbe
- v notranjosti
- zavarovanje
- Intelligence
- medsebojno delovanje
- Zanimivo
- interno
- v
- Uvedeno
- naložbe
- IP
- IP naslov
- IP naslovi
- Izrael
- IT
- ITS
- sam
- Novinarji
- vzdrževanje
- Ključne
- tipke
- Vedite
- znano
- Pomanjkanje
- Zadnja
- pozneje
- zakon
- plasti
- vsaj
- dolžina
- Verjeten
- Limited
- vrstica
- LINK
- Seznam
- Navedeno
- lokalna
- nahaja
- več
- si
- POGLEDI
- Stroji
- je
- vzdržuje
- vzdrževanje
- Večina
- upravlja
- proizvodnja
- več
- tržnica
- Stave
- Maj ..
- MD5
- pomeni
- pomeni
- mediji
- medicinski
- zdravstvena oskrba
- medicinske raziskave
- omenjeno
- Sporočilo
- natančen
- Microsoft
- Bližnji
- srednji vzhod
- morda
- moti
- Minute
- manjka
- Model
- skromen
- spremembe
- spremenite
- Modularna
- Trenutki
- spremljanje
- Najbolj
- multinacionalno
- več
- Ime
- Imenovan
- poimenovanje
- mreža
- omrežij
- nikoli
- Novo
- Najnovejši
- Naslednja
- št
- Vozel
- Noben
- predvsem
- roman
- november
- zdaj
- Številka
- številke
- pridobi
- pridobljeni
- Očitna
- of
- Ponudbe
- pogosto
- on
- Na kraju samem
- ONE
- tiste
- na spletu
- samo
- odprite
- open source
- deluje
- deluje
- Delovanje
- operater
- operaterji
- Priložnost
- nasprotuje
- or
- Da
- Organizacija
- organizacijsko
- organizacije
- izvirno
- Ostalo
- naši
- ven
- Izhod
- opisano
- izhod
- več
- lastne
- P&E
- pakirano
- Stran
- Pandemija
- del
- deli
- opravil
- Geslo
- gesla
- preteklosti
- Patch
- Vzorec
- vztrajnost
- osebje
- farmacevtski izdelki
- fizično
- Plain
- platon
- Platonova podatkovna inteligenca
- PlatoData
- prosim
- Točka
- Pogled na točko
- točke
- del
- mogoče
- potencial
- potencialno
- moč
- predstaviti
- prejšnja
- prej
- primarni
- zasebna
- privilegiji
- verjetno
- Postopek
- obravnavati
- Izdelki
- Program
- napredovanje
- zaščiteni
- zaščita
- če
- Ponudnik
- zagotavlja
- objavljeno
- vlečenje
- potisnilo
- R
- naključno
- Naključno
- precej
- dosegli
- prejeti
- prejetih
- prejme
- okrevanje
- besedilu
- o
- Registracija
- registra
- povezane
- ostajajo
- popravilo
- PONOVNO
- zamenjajte
- nadomesti
- poročilo
- Prijavljeno
- Poročila
- zastopanje
- zahteva
- zahteva
- zahteva
- zahteva
- Raziskave
- raziskovalci
- povzroči
- trgovec na drobno
- nazaj
- popravki
- pravice
- licenčnine
- Run
- tek
- Enako
- Videl
- skeniranje
- skeniranje
- sekund
- glej
- pošljite
- pošiljanja
- pošlje
- poslan
- september
- Strežniki
- Storitev
- Storitve
- storitveno podjetje
- Kompleti
- več
- Shell
- Prikaži
- pokazale
- Razstave
- strani
- Sight
- pomemben
- Podoben
- Enostavno
- spletna stran
- Skin
- spanje
- So
- Software
- rešitve
- nekaj
- vir
- specializirano
- specializacijo
- določeno
- sponzor
- sponzoriranje
- Komercialni
- Stage
- standardna
- začne
- zagon
- Države
- Koraki
- trgovina
- shranjeni
- trgovine
- stavke
- String
- Struktura
- kasneje
- Kasneje
- uspeh
- Uspešno
- dobavljeno
- dobavitelj
- podpora
- Podpora
- sistem
- sistemi
- miza
- Bodite
- sprejeti
- ciljna
- ciljno
- ciljanje
- Cilji
- Tehnologija
- telekomunikacije
- deset
- Izraz
- besedilo
- kot
- da
- O
- informacije
- svet
- njihove
- POTEM
- Tukaj.
- s tem
- te
- jih
- tretja
- ta
- tisti,
- Grožnja
- vsej
- čas
- časovnica
- TM
- do
- skupaj
- orodje
- orodja
- Skupaj za plačilo
- sledenje
- Zdravljenje
- sojenje
- predor
- OBRAT
- dva
- ne morem
- Velika
- Združeni arab
- Združeni Arabski Emirati
- Združene države Amerike
- dokler
- Nadgradnja
- posodobljeno
- posodobitve
- naprej
- URL
- us
- uporaba
- Rabljeni
- Uporabniki
- uporablja
- uporabo
- pripomoček
- uporablja
- Uporaben
- v1
- vrednost
- Vrednote
- raznolikost
- različnih
- različica
- različice
- vertikale
- Žrtva
- žrtve
- Poglej
- obisk
- Ranljivosti
- ranljivost
- Ranljivi
- je
- we
- web
- Spletni brskalniki
- Dobro
- so bili
- Kaj
- kdaj
- medtem ko
- ali
- ki
- medtem
- široka
- širina
- okno
- okna
- z
- v
- brez
- deluje
- svet
- Svetovna zdravstvena organizacija
- bi
- pisati
- pisni
- let
- ja
- zefirnet
- nič