ESET-forskare upptäckte en Ballistic Bobcat-kampanj riktad mot olika enheter i Brasilien, Israel och Förenade Arabemiraten, med hjälp av en ny bakdörr som vi har kallat Sponsor.
Vi upptäckte sponsor efter att vi analyserade ett intressant prov som vi upptäckte på ett offers system i Israel i maj 2022 och omfångade offret per land. Vid granskning blev det uppenbart för oss att provet var en ny bakdörr utplacerad av Ballistic Bobcat APT-gruppen.
Ballistic Bobcat, som tidigare spårats av ESET Research som APT35/APT42 (aka Charming Kitten, TA453 eller PHOSPHORUS), är en misstänkt Iran-ansluten avancerad ihållande hotgrupp som riktar sig till utbildnings-, regerings- och hälsoorganisationer, såväl som människorättsaktivister och journalister. Den är mest aktiv i Israel, Mellanöstern och USA. Särskilt under pandemin riktade den sig mot covid-19-relaterade organisationer, inklusive Världshälsoorganisationen och Gilead Pharmaceuticals, och medicinsk forskningspersonal.
Överlappningar mellan Ballistic Bobcat-kampanjer och sponsor bakdörrsversioner visar ett ganska tydligt mönster av verktygsutveckling och implementering, med snävt riktade kampanjer, var och en av begränsad varaktighet. Vi upptäckte därefter fyra andra versioner av sponsorns bakdörr. Totalt såg vi sponsor utplacerad till minst 34 offer i Brasilien, Israel och Förenade Arabemiraten, som beskrivs i REF _Ref143075975 h Figur 1
.
Huvudpunkterna i detta blogginlägg:
- Vi upptäckte en ny bakdörr utplacerad av Ballistic Bobcat som vi senare döpte till sponsor.
- Ballistic Bobcat installerade den nya bakdörren i september 2021, medan den avslutade kampanjen som dokumenterades i CISA Alert AA21-321A och PowerLess-kampanjen.
- Sponsorns bakdörr använder konfigurationsfiler lagrade på disken. Dessa filer distribueras diskret av batchfiler och avsiktligt utformade för att framstå som ofarliga, och försöker därmed undvika upptäckt genom skanningsmotorer.
- Sponsor utplacerades till minst 34 offer i Brasilien, Israel och Förenade Arabemiraten; vi har döpt denna aktivitet till kampanjen för sponsringstillgång.
Första åtkomst
Ballistic Bobcat fick initial åtkomst genom att utnyttja kända sårbarheter i internetexponerade Microsoft Exchange-servrar genom att först utföra noggranna genomsökningar av systemet eller nätverket för att identifiera potentiella svagheter eller sårbarheter, och därefter rikta in sig på och utnyttja dessa identifierade svagheter. Gruppen har varit känd för att engagera sig i detta beteende under en tid. Men många av de 34 offer som identifierats i ESET-telemetri kan bäst beskrivas som offer för möjligheter snarare än förutvalda och undersökta offer, eftersom vi misstänker att Ballistic Bobcat ägnade sig åt det ovan beskrivna skanna-och-exploateringsbeteendet eftersom det inte var det enda hotet. aktör med tillgång till dessa system. Vi har döpt denna Ballistic Bobcat-aktivitet genom att använda sponsorns bakdörr till kampanjen Sponsoring Access.
Sponsorns bakdörr använder konfigurationsfiler på disk, släppta av batchfiler, och båda är ofarliga för att kringgå skanningsmotorer. Denna modulära metod är en som Ballistic Bobcat har använt ganska ofta och med blygsam framgång under de senaste två och ett halvt åren. På komprometterade system fortsätter Ballistic Bobcat också att använda en mängd olika verktyg med öppen källkod, som vi beskriver – tillsammans med sponsorns bakdörr – i detta blogginlägg.
Victimology
En betydande majoritet av de 34 offren fanns i Israel, med endast två i andra länder:
- Brasilien, hos ett medicinskt kooperativ och sjukförsäkringsoperatör, och
- Förenade Arabemiraten, vid en oidentifierad organisation.
REF _Ref112861418 h Bord 1
beskriver vertikalerna och organisatoriska detaljer för offer i Israel.
Bord SEQ Tabell * ARABISK 1. Vertikala och organisatoriska detaljer för offer i Israel
Vertikal |
Detaljer |
Bil |
· Ett bilföretag specialiserat på anpassade modifieringar. · Ett bilreparations- och underhållsföretag. |
Trygghet i vårdförloppet |
· En israelisk media. |
Teknik |
· En civilingenjörsfirma. · En miljöingenjörsfirma. · En arkitektbyrå. |
Finansiella tjänster |
· Ett finansiellt tjänsteföretag som är specialiserat på investeringsrådgivning. · Ett företag som hanterar royalties. |
Sjukvård |
· En vårdgivare. |
Försäkring |
· Ett försäkringsbolag som driver en försäkringsmarknad. · Ett kommersiellt försäkringsbolag. |
Lag |
· Ett företag specialiserat på medicinsk juridik. |
Tillverkning |
· Flera elektroniktillverkande företag. · Ett företag som tillverkar metallbaserade kommersiella produkter. · Ett multinationellt tekniktillverkningsföretag. |
Detaljhandeln |
· En livsmedelshandlare. · En multinationell diamantåterförsäljare. · En återförsäljare av hudvårdsprodukter. · En återförsäljare och installatör av fönsterbehandlingar. · En global leverantör av elektroniska delar. · En leverantör av fysisk passerkontroll. |
Teknologi |
· Ett IT-teknikföretag. · En leverantör av IT-lösningar. |
Telekommunikationer |
· Ett telekomföretag. |
Oidentifierad |
· Flera oidentifierade organisationer. |
Erkännande
I augusti 2021 attackerades det israeliska offret ovan som driver en försäkringsmarknad av Ballistic Bobcat med verktygen CISA rapporterade i november 2021. Indikatorerna på kompromiss vi observerade är:
- MicrosoftOutlookUpdateSchedule,
- MicrosoftOutlookUpdateSchedule.xml,
- GoogleChangeManagementoch
- GoogleChangeManagement.xml.
Ballistiska Bobcat-verktyg kommunicerade med samma kommando- och kontrollserver (C&C) som i CISA-rapporten: 162.55.137[.]20.
Sedan, i september 2021, fick samma offer nästa generation av Ballistic Bobcat-verktyg: Powerless bakdörr och dess stödjande verktyg. Indikatorerna på kompromiss vi observerade var:
- http://162.55.137[.]20/gsdhdDdfgA5sS/ff/dll.dll,
- windowsprocesses.exeoch
- http://162.55.137[.]20/gsdhdDdfgA5sS/ff/windowsprocesses.exe.
På November 18th, 2021, implementerade gruppen sedan ett annat verktyg (Plink) som täcktes i CISA-rapporten, som MicrosoftOutLookUpdater.exe. Tio dagar senare, den 28 novemberth, 2021, utplacerade Ballistic Bobcat Merlin agent (agentdelen av en öppen källkod efter exploatering C&C-server och agent skriven i Go). På disken hette den här Merlin-agenten googleUpdate.exe, med samma namnkonvention som beskrivs i CISA-rapporten för att gömma sig tydligt.
Merlin-agenten körde ett Meterpreter omvänt skal som ringde tillbaka till en ny C&C-server, 37.120.222[.]168:80. Den 12 decemberth, 2021, det omvända skalet tappade en batchfil, install.bat, och inom några minuter efter att ha kört batchfilen, knuffade Ballistic Bobcat-operatörer sin senaste bakdörr, Sponsor. Detta skulle visa sig vara den tredje versionen av bakdörren.
Teknisk analys
Första åtkomst
Vi kunde identifiera ett troligt sätt för initial åtkomst för 23 av de 34 offer som vi observerade i ESET-telemetri. I likhet med vad som rapporterades i Maktlös och CISA rapporterar att Ballistic Bobcat förmodligen utnyttjade en känd sårbarhet, CVE-2021-26855, i Microsoft Exchange-servrar för att få fotfäste på dessa system.
För 16 av de 34 offren verkar det som att Ballistic Bobcat inte var den enda hotaktören med tillgång till deras system. Detta kan tyda på, tillsammans med den stora variationen av offer och den uppenbara bristen på uppenbart intelligensvärde hos ett fåtal offer, att Ballistic Bobcat ägnade sig åt att skanna och utnyttja beteende, i motsats till en riktad kampanj mot förutvalda offer.
Verktygset
Open-source-verktyg
Ballistic Bobcat använde ett antal verktyg med öppen källkod under kampanjen Sponsoring Access. Dessa verktyg och deras funktioner listas i REF _Ref112861458 h Bord 2
.
Bord SEQ Tabell * ARABISK 2. Verktyg med öppen källkod som används av Ballistic Bobcat
Filnamn |
Beskrivning |
host2ip.exe
|
Kartor a värdnamn till en IP-adress inom det lokala nätverket. |
Csrss.exe
|
RevSocks, en omvänd tunnelapplikation. |
mi.exe
|
Mimikatz, med ett originalfilnamn av midongle.exe och packad med Armadillo PE packare. |
gost.exe
|
GO Simple Tunnel (GOST), en tunnelapplikation skriven i Go. |
chisel.exe
|
Mejsel, en TCP/UDP-tunnel över HTTP som använder SSH-lager. |
csrss_protected.exe
|
RevSocks tunnel, skyddad med testversionen av Enigma Protector mjukvaruskydd. |
plink.exe
|
Plink (PuTTY Link), ett kommandoradsanslutningsverktyg. |
WebBrowserPassView.exe
|
A verktyg för återställning av lösenord för lösenord lagrade i webbläsare.
|
sqlextractor.exe
|
A verktyg för att interagera med och extrahera data från SQL-databaser. |
procdump64.exe
|
ProcDump, en Sysinternals kommandoradsverktyg för att övervaka applikationer och generera kraschdumpar. |
Batch-filer
Ballistic Bobcat distribuerade batchfiler till offrens system ögonblick innan sponsorns bakdörr distribuerades. Filsökvägar vi känner till är:
- C:inetpubwwwrootaspnet_clientInstall.bat
- %USERPROFILE%DesktopInstall.bat
- %WINDOWS%TasksInstall.bat
Tyvärr kunde vi inte få tag på någon av dessa batchfiler. Vi tror dock att de skriver ofarliga konfigurationsfiler till disken, vilket sponsorns bakdörr kräver för att fungera fullt ut. Dessa konfigurationsfilnamn togs från sponsorns bakdörrar men samlades aldrig in:
- config.txt
- node.txt
- error.txt
- Avinstallera.bat
Vi tror att batchfilerna och konfigurationsfilerna är en del av den modulära utvecklingsprocess som Ballistic Bobcat har gynnat under de senaste åren.
Sponsor bakdörr
Sponsorns bakdörrar är skrivna i C++ med kompileringstidsstämplar och sökvägar för programdatabas (PDB) som visas i REF _Ref112861527 h Bord 3
. En notering om versionsnummer: kolumnen version representerar versionen som vi spårar internt baserat på den linjära utvecklingen av sponsorns bakdörrar där ändringar görs från en version till nästa. De Intern version kolumnen innehåller versionsnumren som observeras i varje sponsorbakdörr och ingår för att underlätta jämförelsen när man undersöker dessa och andra potentiella sponsorprover.
Bord 3. Tidsstämplar för sponsorsammanställning och PDB
version |
Intern version |
Tidsstämpel för sammanställning |
PBF |
1 |
1.0.0 |
2021-08-29 09:12:51 |
D:TempBD_Plus_SrvcReleaseBD_Plus_Srvc.pdb |
2 |
1.0.0 |
2021-10-09 12:39:15 |
D:TempSponsorReleaseSponsor.pdb |
3 |
1.4.0 |
2021-11-24 11:51:55 |
D:TempSponsorReleaseSponsor.pdb |
4 |
2.1.1 |
2022-02-19 13:12:07 |
D:TempSponsorReleaseSponsor.pdb |
5 |
1.2.3.0 |
2022-06-19 14:14:13 |
D:TempAluminaReleaseAlumina.pdb |
Den initiala exekveringen av sponsor kräver runtime-argumentet installera, utan vilken sponsorn graciöst lämnar, troligen en enkel anti-emulering/anti-sandlådeteknik. Om det går igenom det argumentet skapar sponsorn en tjänst som anropas Systemnätverk (i v1) Och Uppdatering (i alla andra versioner). Det ställer in tjänstens Startmetod till Automat, och ställer in den att köra sin egen sponsorprocess och ger den full åtkomst. Den startar sedan tjänsten.
Sponsor, som nu körs som en tjänst, försöker öppna de tidigare nämnda konfigurationsfilerna som tidigare placerats på disken. Den letar efter config.txt och node.txt, båda i den aktuella arbetskatalogen. Om den första saknas, ställer Sponsor tjänsten till stoppad och går graciöst ut.
Bakdörrskonfiguration
Sponsorns konfiguration, lagrad i config.txt, innehåller två fält:
- Ett uppdateringsintervall, i sekunder, för att regelbundet kontakta C&C-servern för kommandon.
- En lista över C&C-servrar, kallade reläer i sponsorns binärer.
C&C-servrarna lagras krypterade (RC4), och dekrypteringsnyckeln finns i den första raden av config.txt. Vart och ett av fälten, inklusive dekrypteringsnyckeln, har det format som visas i REF _Ref142647636 h Figur 3
.
Dessa underfält är:
- config_start: indikerar längden på config_name, om närvarande, eller noll, om inte. Används av bakdörren för att veta var config_data startar.
- config_len: längden av config_data.
- config_name: valfritt, innehåller ett namn som ges till konfigurationsfältet.
- config_data: själva konfigurationen, krypterad (när det gäller C&C-servrar) eller inte (alla andra fält).
REF _Ref142648473 h Figur 4
visar ett exempel med färgkodat innehåll av en ev config.txt fil. Observera att detta inte är en faktisk fil vi observerade, utan ett påhittat exempel.
De två sista fälten i config.txt är krypterade med RC4, med hjälp av strängrepresentationen av SHA-256-hash för den angivna dekrypteringsnyckeln, som nyckel för att kryptera data. Vi ser att de krypterade byten lagras hex-kodade som ASCII-text.
Värdinformationsinsamling
Sponsor samlar in information om värden som den körs på, rapporterar all insamlad information till C&C-servern och får ett nod-ID som skrivs till node.txt. REF _Ref142653641 h Bord 4
REF _Ref112861575 h
listar nycklar och värden i Windows-registret som sponsorn använder för att få informationen och ger ett exempel på insamlad data.
Tabell 4. Information insamlad av sponsor
Registernyckel |
Värde |
Exempelvis |
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
|
Värdnamn
|
D-835MK12
|
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTimeZoneInformation
|
TimeZoneKeyName
|
Israel standardtid
|
HKEY_USERS.DEFAULTControl PanelInternational
|
Lokalt namn
|
han-IL
|
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemBIOS
|
Baseboardprodukt
|
10NX0010IL
|
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentral Processor
|
ProcessorNameString
|
Intel(R) Core(TM) i7-8565U CPU @ 1.80GHz
|
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion
|
Produktnamn
|
Windows 10 Enterprise N
|
Current
|
6.3
|
|
CurrentBuildNumber
|
19044
|
|
Installationstyp
|
Klient
|
Sponsorn samlar också in värdens Windows-domän genom att använda följande Wmic kommando:
wmic datorsystem få domän
Slutligen använder sponsoren Windows API:er för att samla in det aktuella användarnamnet (GetUserNameW), avgöra om den aktuella sponsorprocessen körs som en 32- eller 64-bitars applikation (GetCurrentProcessoch sedan IsWow64Process(CurrentProcess)), och avgör om systemet körs på batteri eller är anslutet till en AC- eller DC-strömkälla (GetSystemPowerStatus).
En märklighet när det gäller 32- eller 64-bitars applikationskontrollen är att alla observerade prover av sponsor var 32-bitars. Detta kan innebära att några av verktygen i nästa steg kräver denna information.
Den insamlade informationen skickas i ett base64-kodat meddelande som innan kodning börjar med r och har formatet som visas i REF _Ref142655224 h Figur 5
.
Informationen krypteras med RC4, och krypteringsnyckeln är ett slumptal som genereras på plats. Nyckeln hashas med MD5-algoritmen, inte SHA-256 som tidigare nämnts. Detta är fallet för all kommunikation där sponsorn måste skicka krypterad data.
C&C-servern svarar med ett nummer som används för att identifiera den drabbade datorn i senare kommunikation, vilket skrivs till node.txt. Observera att C&C-servern väljs slumpmässigt från listan när r meddelande skickas och samma server används i all efterföljande kommunikation.
Kommandobearbetningsslinga
Sponsorn begär kommandon i en slinga och sover enligt intervallet som definieras i config.txt. Stegen är:
- Skicka en chk=Test meddelandet upprepade gånger tills C&C-servern svarar Ok.
- Skicka en c (IS_CMD_AVAIL) meddelande till C&C-servern och ta emot ett operatörskommando.
- Bearbeta kommandot.
- Om det finns utdata som ska skickas till C&C-servern, skicka en a (ACK) meddelande, inklusive utdata (krypterad), eller
- Om exekveringen misslyckades, skicka en f
(
MISSLYCKADES) meddelande. Felmeddelandet skickas inte.
- Sova.
Smakämnen c meddelande skickas för att begära att ett kommando ska köras och har formatet (före base64-kodning) som visas i REF _Ref142658017 h Figur 6
.
Smakämnen krypterad_ingen fältet i figuren är resultatet av kryptering av den hårdkodade strängen Ingen med RC4. Nyckeln för kryptering är MD5-hash nod_id.
URL:en som används för att kontakta C&C-servern är byggd som: http://<IP_or_domain>:80. Det kan tyda på det 37.120.222[.]168:80 är den enda C&C-servern som används under sponsringsåtkomstkampanjen, eftersom det var den enda IP-adressen som vi såg att offermaskiner nådde ut till port 80.
Operatörens kommandon
Operatörskommandon är avgränsade i REF _Ref112861551 h Bord 5
och visas i den ordning som de finns i koden. Kommunikation med C&C-servern sker via port 80.
Tabell 5. Operatörskommandon och beskrivningar
Kommando |
Beskrivning |
p |
Skickar process-ID för den pågående sponsorprocessen. |
e |
Utför ett kommando, som specificerats i ett efterföljande ytterligare argument, på sponsorvärden med hjälp av följande sträng: c:windowssystem32cmd.exe /c > result.txt 2>&1 Resultaten lagras i result.txt i den aktuella arbetskatalogen. Skickar en a meddelande med den krypterade utgången till C&C-servern om den exekveras. Om misslyckades, skickar en f meddelande (utan att ange felet). |
d |
Tar emot en fil från C&C-servern och kör den. Detta kommando har många argument: målfilnamnet att skriva filen till, MD5-hash för filen, en katalog att skriva filen till (eller den nuvarande arbetskatalogen, som standard), en boolesk för att indikera om filen ska köras eller inte, och innehållet i den körbara filen, base64-kodad. Om inga fel uppstår, en a meddelande skickas till C&C-servern med Ladda upp och kör filen framgångsrikt or Ladda upp filen utan att köra (krypterad). Om fel uppstår under körningen av filen, en f meddelande skickas. Om MD5-hash för innehållet i filen inte matchar den angivna hashen, en e (CRC_ERROR) meddelande skickas till C&C-servern (inklusive endast den använda krypteringsnyckeln och ingen annan information). Användningen av termen Ladda här är potentiellt förvirrande eftersom Ballistic Bobcat-operatörerna och kodarna tar synvinkeln från serversidan, medan många kanske ser detta som en nedladdning baserat på att filen dras (dvs. laddas ner) av systemet som använder sponsorns bakdörr. |
u |
Försök att ladda ner en fil med hjälp av URLDownloadFileW Windows API och kör det. Framgång skickar en a meddelande med den använda krypteringsnyckeln och ingen annan information. Misslyckande skickar en f meddelande med liknande struktur. |
s |
Kör en fil som redan finns på disken, Avinstallera.bat i den aktuella arbetskatalogen, som sannolikt innehåller kommandon för att radera filer relaterade till bakdörren. |
n |
Detta kommando kan uttryckligen tillhandahållas av en operatör eller kan antas av Sponsor som kommandot att utföra i frånvaro av något annat kommando. Refereras till inom Sponsor som NO_CMD, kör den en slumpmässig viloläge innan den checkar in igen med C&C-servern. |
b |
Uppdaterar listan över C&C:er lagrade i config.txt i den aktuella arbetskatalogen. De nya C&C-adresserna ersätter de tidigare; de läggs inte till i listan. Den skickar en a meddelande med |
i |
Uppdaterar det förutbestämda incheckningsintervallet som anges i config.txt. Den skickar en a meddelande med Nytt intervall har ersatts till C&C-servern om den har uppdaterats framgångsrikt. |
Uppdateringar till sponsor
Ballistic Bobcat-kodare gjorde kodrevisioner mellan Sponsor v1 och v2. De två viktigaste förändringarna i den senare är:
- Optimering av kod där flera längre funktioner minimerades till funktioner och underfunktioner, och
- Dölja sponsor som ett uppdateringsprogram genom att inkludera följande meddelande i tjänstens konfiguration:
Appuppdateringar är bra för både appanvändare och appar – uppdateringar innebär att utvecklare alltid arbetar med att förbättra appen, med tanke på en bättre kundupplevelse med varje uppdatering.
Nätverksinfrastruktur
Förutom att piggybacka på C&C-infrastrukturen som användes i PowerLess-kampanjen, introducerade Ballistic Bobcat också en ny C&C-server. Gruppen använde också flera IP-adresser för att lagra och leverera supportverktyg under sponsringsåtkomstkampanjen. Vi har bekräftat att ingen av dessa IP-adresser är i drift för närvarande.
Slutsats
Ballistic Bobcat fortsätter att verka på en skanna-och-exploateringsmodell och letar efter möjlighetsmål med oparpade sårbarheter i internetexponerade Microsoft Exchange-servrar. Gruppen fortsätter att använda en mångsidig verktygsuppsättning med öppen källkod kompletterad med flera anpassade applikationer, inklusive dess sponsorbakdörr. Försvarare skulle vara klokt att lappa alla internet-exponerade enheter och vara vaksamma för nya applikationer som dyker upp inom deras organisationer.
För eventuella frågor om vår forskning publicerad på WeLiveSecurity, vänligen kontakta oss på hotintel@eset.com.
ESET Research erbjuder privata APT-underrättelserapporter och dataflöden. För eventuella frågor om denna tjänst, besök ESET Threat Intelligence sida.
IOCS
Filer
SHA-1 |
Filnamn |
Detektering |
Beskrivning |
098B9A6CE722311553E1D8AC5849BA1DC5834C52
|
N / A |
Win32/Agent.UXG |
Ballistic Bobcat-bakdörr, sponsor (v1). |
5AEE3C957056A8640041ABC108D0B8A3D7A02EBD
|
N / A |
Win32/Agent.UXG |
Ballistic Bobcat-bakdörr, sponsor (v2). |
764EB6CA3752576C182FC19CFF3E86C38DD51475
|
N / A |
Win32/Agent.UXG |
Ballistic Bobcat-bakdörr, sponsor (v3). |
2F3EDA9D788A35F4C467B63860E73C3B010529CC
|
N / A |
Win32/Agent.UXG |
Ballistic Bobcat-bakdörr, sponsor (v4). |
E443DC53284537513C00818392E569C79328F56F
|
N / A |
Win32/Agent.UXG |
Ballistic Bobcat-bakdörr, sponsor (v5, aka Alumina). |
C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61
|
N / A |
WinGo/Agent.BT |
RevSocks omvänd tunnel. |
39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6
|
N / A |
rena |
ProcDump, ett kommandoradsverktyg för att övervaka applikationer och generera kraschdumpar. |
A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A
|
N / A |
Generik.EYWYQYF |
Mimikatz. |
5D60C8507AC9B840A13FFDF19E3315A3E14DE66A
|
N / A |
WinGo/Riskware.Gost.D |
GO Simple Tunnel (GOST). |
50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617
|
N / A |
WinGo/HackTool.Chisel.A |
Mejsel omvänd tunnel. |
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252
|
N / A |
N / A |
Host2IP upptäcktsverktyg. |
519CA93366F1B1D71052C6CE140F5C80CE885181
|
N / A |
Win64/Packed.Enigma.BV |
RevSocks-tunnel, skyddad med testversionen av mjukvaruskyddet Enigma Protector. |
4709827C7A95012AB970BF651ED5183083366C79
|
N / A |
N / A |
Plink (PuTTY Link), ett kommandoradsanslutningsverktyg. |
99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8
|
N / A |
Win32/PSWTool.WebBrowserPassView.I |
Ett lösenordsåterställningsverktyg för lösenord lagrade i webbläsare. |
E52AA118A59502790A4DD6625854BD93C0DEAF27
|
N / A |
MSIL/HackTool.SQLDump.A |
Ett verktyg för att interagera med och extrahera data från SQL-databaser. |
Filsökvägar
Följande är en lista över vägar där sponsorns bakdörr utplacerades på utsatta maskiner.
%SYSTEMDRIVE%inetpubwwwrotaspnet_client
%USERPROFILE%AppDataLocalTempfile
%USERPROFILE%AppDataLocalTemp2low
%USERPROFILE%Skrivbord
%USERPROFILE%Ladda ner en
%WINDIR%
%WINDIR%INFMSExchange Delivery DSN
%WINDIR%Uppgifter
%WINDIR%Temp%WINDIR%Tempcrashpad1Files
nätverks
IP
Provider
Först sett
Senast sett
Detaljer
162.55.137[.]20
Hetzner Online GMBH
2021-06-14
2021-06-15
Powerless C&C.
37.120.222[.]168
M247 LTD
2021-11-28
2021-12-12
Sponsor C&C.
198.144.189[.]74
Colocrossing
2021-11-29
2021-11-29
Webbplats för nedladdning av supportverktyg.
5.255.97[.]172
The Infrastructure Group BV
2021-09-05
2021-10-28
Webbplats för nedladdning av supportverktyg.
IP
Provider
Först sett
Senast sett
Detaljer
162.55.137[.]20
Hetzner Online GMBH
2021-06-14
2021-06-15
Powerless C&C.
37.120.222[.]168
M247 LTD
2021-11-28
2021-12-12
Sponsor C&C.
198.144.189[.]74
Colocrossing
2021-11-29
2021-11-29
Webbplats för nedladdning av supportverktyg.
5.255.97[.]172
The Infrastructure Group BV
2021-09-05
2021-10-28
Webbplats för nedladdning av supportverktyg.
Detta bord byggdes med hjälp av version 13 i MITER ATT&CK-ramverket.
Taktik |
ID |
Namn |
Beskrivning |
Spaning |
Aktiv skanning: Sårbarhetsskanning |
Ballistic Bobcat söker efter sårbara versioner av Microsoft Exchange-servrar för att utnyttja. |
|
Resursutveckling |
Utveckla förmågor: Malware |
Ballistic Bobcat designade och kodade sponsorns bakdörr. |
|
Skaffa funktioner: Verktyg |
Ballistic Bobcat använder olika verktyg med öppen källkod som en del av kampanjen Sponsoring Access. |
||
Initial åtkomst |
Utnyttja en applikation för allmänheten |
Ballistisk Bobcat riktar sig mot internet-exponerade Microsoft Exchange-servrar. |
|
Utförande |
Kommando- och skripttolk: Windows Command Shell |
Sponsorns bakdörr använder Windows-kommandoskalet för att utföra kommandon på offrets system. |
|
Systemtjänster: Tjänstekörning |
Sponsorns bakdörr sätter sig själv som en tjänst och initierar sina primära funktioner efter att tjänsten har utförts. |
||
Persistens |
Skapa eller ändra systemprocess: Windows-tjänst |
Sponsor upprätthåller uthållighet genom att skapa en tjänst med automatisk start som utför sina primära funktioner i en loop. |
|
Privilegieupptrappning |
Giltiga konton: Lokala konton |
Ballistiska Bobcat-operatörer försöker stjäla autentiseringsuppgifter för giltiga användare efter att ha exploaterat ett system innan de distribuerar sponsorns bakdörr. |
|
Försvarsflykt |
Deobfuskera/avkoda filer eller information |
Sponsor lagrar information på disk som är krypterad och fördunklad, och deobfuskerar den vid körning. |
|
Fördubblade filer eller information |
Konfigurationsfiler som sponsorns bakdörr kräver på disken är krypterade och obfuskerade. |
||
Giltiga konton: Lokala konton |
Sponsor exekveras med administratörsbehörighet, troligen med hjälp av referenser som operatörer hittade på disken; tillsammans med Ballistic Bobcats ofarliga namnkonventioner gör detta att sponsorn kan smälta in i bakgrunden. |
||
Legitimationsåtkomst |
Inloggningsuppgifter från lösenordsbutiker: Inloggningsuppgifter från webbläsare |
Ballistiska Bobcat-operatörer använder open source-verktyg för att stjäla referenser från lösenordsbutiker i webbläsare. |
|
Discovery |
Fjärrsystemupptäckt |
Ballistic Bobcat använder verktyget Host2IP, som tidigare använts av Agrius, för att upptäcka andra system inom nåbara nätverk och korrelera deras värdnamn och IP-adresser. |
|
Command and Control |
Dataobfuskation |
Sponsorns bakdörr fördunklar data innan den skickas till C&C-servern. |
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Fordon / elbilar, Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- ChartPrime. Höj ditt handelsspel med ChartPrime. Tillgång här.
- BlockOffsets. Modernisera miljökompensation ägande. Tillgång här.
- Källa: https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/
- : har
- :är
- :inte
- :var
- $UPP
- 09
- 1
- 10
- 11
- 12
- 13
- 14
- 15%
- 150
- 16
- 179
- 20
- 2021
- 2022
- 23
- 24
- 25
- 31
- 39
- 51
- 60
- 7
- 8
- 80
- 9
- a
- Able
- Om Oss
- ovan
- AC
- tillgång
- Enligt
- konton
- aktiv
- aktivister
- aktivitet
- faktiska
- lagt till
- Dessutom
- Annat
- adress
- adresser
- administration
- avancerat
- Efter
- mot
- Recensioner
- aka
- Varna
- algoritm
- Alla
- tillåter
- längs
- redan
- också
- alltid
- an
- analyseras
- och
- Annan
- vilken som helst
- api
- API: er
- app
- skenbar
- visas
- visas
- Ansökan
- tillämpningar
- tillvägagångssätt
- appar
- APT
- arab
- Arabemiraten
- arabiska
- arkitektoniska
- ÄR
- Argumentet
- argument
- AS
- be
- At
- försök
- Försök
- AUGUSTI
- Automat
- fordonsindustrin
- medveten
- tillbaka
- bakdörr
- Bakdörrar
- bakgrund
- baserat
- batteri
- BE
- blev
- därför att
- varit
- innan
- beteende
- tro
- BÄST
- Bättre
- mellan
- Blandning
- båda
- Brasilien
- webbläsare
- byggt
- men
- by
- C + +
- kallas
- Kampanj
- Kampanjer
- KAN
- kapacitet
- vilken
- Vid
- Centrum
- Förändringar
- ta
- kontroll
- valda
- civila
- klar
- koda
- kodad
- samla
- Kolumn
- COM
- kommersiella
- Kommunikation
- Trygghet i vårdförloppet
- Företag
- företag
- jämförelse
- kompromiss
- Äventyras
- dator
- ledande
- konfiguration
- BEKRÄFTAT
- förvirrande
- anslutna
- anslutning
- kontakta
- innehåller
- innehåll
- fortsätter
- kontroll
- Konventionen
- kooperativ
- kunde
- länder
- land
- omfattas
- Crash
- skapar
- Skapa
- referenser
- Aktuella
- beställnings
- kund
- kundupplevelse
- datum
- Databas
- databaser
- Dagar
- dc
- December
- Standard
- Försvararna
- definierade
- leverera
- leverans
- utplacerade
- utplacera
- utplacering
- beskriva
- beskriven
- Designa
- utformade
- detaljer
- detekterad
- Detektering
- Bestämma
- bestämd
- utvecklare
- Utveckling
- enheter
- Diamant
- Upptäck
- upptäckt
- Upptäckten
- fördelning
- flera
- gör
- domän
- ladda ner
- tappade
- varaktighet
- under
- e
- varje
- lätta
- öster
- Utbildning
- Elektronisk
- Elektronik
- Emirates
- anställd
- krypterad
- kryptering
- engagera
- ingrepp
- Teknik
- Motorer
- Enigma
- Företag
- enheter
- miljömässigt
- fel
- fel
- ESET Research
- uppenbart
- Granskning
- exempel
- utbyta
- exekvera
- exekveras
- Utför
- exekvera
- utförande
- exits
- erfarenhet
- Exploit
- utnyttjas
- utnyttja
- Misslyckades
- Misslyckande
- ganska
- få
- fält
- Fält
- Figur
- Fil
- Filer
- finansiella
- finansiella tjänster
- företag för finansiella tjänster
- Firm
- Förnamn
- efter
- livsmedelsproduktion
- För
- format
- hittade
- fyra
- från
- full
- fullständigt
- fungera
- funktioner
- Få
- samlade ihop
- genereras
- generera
- generering
- geografisk
- skaffa sig
- ges
- Välgörenhet
- Go
- Regeringen
- bidrag
- stor
- Grupp
- Hälften
- hash
- hashade
- Har
- Hälsa
- sjukförsäkring
- hälso-och sjukvård
- här.
- Dölja
- värd
- Men
- html
- http
- HTTPS
- humant
- mänskliga rättigheter
- i
- ID
- identifierade
- identifiera
- if
- bild
- förbättra
- in
- I andra
- ingår
- Inklusive
- indikerar
- pekar på
- indikatorer
- informationen
- Infrastruktur
- inledande
- initialt
- initierar
- förfrågningar
- inuti
- försäkring
- Intelligens
- interagera
- intressant
- invändigt
- in
- introducerade
- investering
- IP
- IP-adress
- IP-adresser
- Israel
- IT
- DESS
- sig
- journalister
- hålla
- Nyckel
- nycklar
- Vet
- känd
- Brist
- Efternamn
- senare
- Lag
- skikt
- t minst
- Längd
- sannolikt
- Begränsad
- linje
- LINK
- Lista
- Noterade
- lokal
- belägen
- längre
- du letar
- UTSEENDE
- Maskiner
- gjord
- upprätthåller
- underhåll
- Majoritet
- förvaltar
- Produktion
- många
- marknadsplats
- Match
- Maj..
- MD5
- betyda
- betyder
- Media
- medicinsk
- Sjukvård
- medicinsk forskning
- nämnts
- meddelande
- noggrann
- Microsoft
- Mitten
- Mellanöstern
- kanske
- emot
- minuter
- saknas
- modell
- blygsam
- modifieringar
- modifiera
- modulära
- Ögonblick
- övervakning
- mest
- multinationell
- multipel
- namn
- Som heter
- namngivning
- nät
- nätverk
- aldrig
- Nya
- Senaste
- Nästa
- Nej
- nod
- Ingen
- i synnerhet
- roman
- November
- nu
- antal
- nummer
- få
- erhållna
- Uppenbara
- of
- Erbjudanden
- Ofta
- on
- På pricken
- ONE
- ettor
- nätet
- endast
- öppet
- öppen källkod
- driva
- fungerar
- drift
- Operatören
- operatörer
- Möjlighet
- motsatt
- or
- beställa
- organisation
- organisatoriska
- organisationer
- ursprungliga
- Övriga
- vår
- ut
- utlopp
- skisse
- produktion
- över
- egen
- P&E
- packad
- sida
- pandemi
- del
- reservdelar till din klassiker
- Godkänd
- Lösenord
- lösenord
- Tidigare
- Lappa
- Mönster
- persistens
- Personal
- läkemedel
- fysisk
- Enkel
- plato
- Platon Data Intelligence
- PlatonData
- snälla du
- Punkt
- Synvinkel
- poäng
- del
- möjlig
- potentiell
- potentiellt
- kraft
- presentera
- föregående
- tidigare
- primär
- privat
- privilegier
- förmodligen
- process
- bearbetning
- Produkter
- Program
- progression
- skyddad
- skydd
- förutsatt
- leverantör
- ger
- publicerade
- dra
- sköt
- R
- slumpmässig
- randomized
- snarare
- nå
- motta
- mottagna
- erhåller
- återvinning
- avses
- om
- registrera
- register
- relaterad
- förblir
- reparation
- UPPREPAT
- ersätta
- ersättas
- rapport
- Rapporterad
- Rapport
- representation
- begära
- förfrågningar
- kräver
- Kräver
- forskning
- forskare
- resultera
- återförsäljare
- vända
- revideringar
- rättigheter
- royalties
- Körning
- rinnande
- Samma
- såg
- scanna
- scanning
- sekunder
- se
- sända
- skicka
- sänder
- skickas
- September
- Servrar
- service
- Tjänster
- tjänsteföretag
- uppsättningar
- flera
- Shell
- show
- visas
- Visar
- sida
- Syn
- signifikant
- liknande
- Enkelt
- webbplats
- Hud
- sova
- So
- Mjukvara
- Lösningar
- några
- Källa
- specialiserat
- specialiserat
- specificerade
- sponsra
- sponsrings
- Spot
- Etapp
- standard
- startar
- start
- Stater
- Steg
- lagra
- lagras
- lagrar
- strejka
- Sträng
- struktur
- senare
- Senare
- framgång
- Framgångsrikt
- levereras
- leverantör
- stödja
- Stödjande
- system
- System
- bord
- Ta
- tagen
- Målet
- riktade
- targeting
- mål
- Teknologi
- telekommunikationer
- tio
- termin
- text
- än
- den där
- Smakämnen
- den information
- världen
- deras
- sedan
- Där.
- vari
- Dessa
- de
- Tredje
- detta
- de
- hot
- hela
- tid
- tidslinje
- TM
- till
- tillsammans
- verktyg
- verktyg
- Totalt
- spår
- behandling
- rättegång
- tunnel
- SVÄNG
- två
- oförmögen
- United
- Förenade Arabien
- Förenade arabemiraten
- USA
- tills
- Uppdatering
- uppdaterad
- Uppdateringar
- på
- URL
- us
- användning
- Begagnade
- användare
- användningar
- med hjälp av
- verktyg
- utnyttjas
- Använda
- v1
- värde
- Värden
- mängd
- olika
- version
- versioner
- vertikaler
- Victim
- offer
- utsikt
- Besök
- sårbarheter
- sårbarhet
- Sårbara
- var
- we
- webb
- webbläsare
- VÄL
- były
- Vad
- när
- medan
- om
- som
- medan
- bred
- bredd
- fönster
- fönster
- med
- inom
- utan
- arbetssätt
- världen
- VÄRLDSHÄLSOORGANISATIONEN
- skulle
- skriva
- skriven
- år
- ja
- zephyrnet
- noll-