ESET araştırmacıları, Sponsor adını verdiğimiz yeni bir arka kapıyı kullanarak Brezilya, İsrail ve Birleşik Arap Emirlikleri'ndeki çeşitli kuruluşları hedef alan bir Balistik Bobcat kampanyası keşfetti.
Sponsor'u, Mayıs 2022'de İsrail'deki bir kurbanın sisteminde tespit ettiğimiz ilginç bir örneği analiz ettikten ve kurban kümesini ülkelere göre inceledikten sonra keşfettik. İnceleme sonrasında numunenin Balistik Bobcat APT grubu tarafından kullanılan yeni bir arka kapı olduğu açıkça ortaya çıktı.
Daha önce ESET Research tarafından APT35/APT42 (diğer adıyla Charming Kitten, TA453 veya PHOSPHORUS) olarak takip edilen Balistik Bobcat, şüpheli bir şüpheli. İran'a uyumlu gelişmiş kalıcı tehdit grubu eğitim, hükümet ve sağlık kuruluşlarının yanı sıra insan hakları aktivistleri ve gazetecileri de hedef alıyor. En çok İsrail, Orta Doğu ve Amerika Birleşik Devletleri'nde aktiftir. Pandemi sırasında özellikle Dünya Sağlık Örgütü ve Gilead Pharmaceuticals dahil olmak üzere COVID-19 ile ilgili kuruluşları ve tıbbi araştırma personelini hedef alıyordu.
Balistik Bobcat kampanyaları arasındaki örtüşmeler ve Sponsor arka kapı versiyonları, her biri sınırlı süreli, dar hedefli kampanyalarla oldukça net bir araç geliştirme ve dağıtım modeli göstermektedir. Daha sonra Sponsor arka kapısının dört versiyonunu daha keşfettik. Toplamda, Sponsorun Brezilya, İsrail ve Birleşik Arap Emirlikleri'nde en az 34 mağdura dağıtıldığını gördük. REF _Ref143075975 h şekil 1
.
Bu blog gönderisinin önemli noktaları:
- Balistik Bobcat tarafından konuşlandırılan ve sonradan Sponsor adını verdiğimiz yeni bir arka kapı keşfettik.
- Balistik Bobcat, Eylül 2021'de CISA Uyarısı AA21-321A ve PowerLess kampanyasında belgelenen kampanyayı tamamlarken yeni arka kapıyı devreye aldı.
- Sponsor arka kapısı, diskte saklanan yapılandırma dosyalarını kullanır. Bu dosyalar, toplu iş dosyaları tarafından gizlice dağıtılır ve zararsız görünecek şekilde kasıtlı olarak tasarlanır, böylece tarama motorları tarafından tespit edilmekten kurtulmaya çalışılır.
- Sponsor Brezilya, İsrail ve Birleşik Arap Emirlikleri'nde en az 34 mağdura dağıtıldı; bu etkinliğe Sponsor Erişimi kampanyası adını verdik.
İlk erişim
Balistik Bobcat, internete açık Microsoft Exchange sunucularındaki bilinen güvenlik açıklarından yararlanarak, ilk önce potansiyel zayıflıkları veya güvenlik açıklarını tespit etmek için sistem veya ağ üzerinde titiz bir tarama gerçekleştirerek ve ardından belirlenen bu zayıflıkları hedef alıp bunlardan yararlanarak ilk erişimi elde etti. Grubun bir süredir bu davranışta bulunduğu biliniyor. Bununla birlikte, ESET telemetrisinde tanımlanan 34 kurbanın çoğu, önceden seçilmiş ve araştırılmış kurbanlar yerine fırsat kurbanları olarak tanımlanabilir; çünkü Balistik Bobcat'in yukarıda açıklanan tarama ve yararlanma davranışında bulunduğundan şüpheleniyoruz çünkü tek tehdit bu değil. Bu sistemlere erişimi olan aktör. Sponsor arka kapısını kullanan bu Balistik Bobcat etkinliğine Sponsor Erişim kampanyası adını verdik.
Sponsor arka kapısı, toplu iş dosyalarının bıraktığı diskteki yapılandırma dosyalarını kullanır ve her ikisi de tarama motorlarını atlayacak kadar zararsızdır. Bu modüler yaklaşım, Balistik Bobcat'in son iki buçuk yılda oldukça sık ve mütevazı bir başarıyla kullandığı bir yaklaşımdır. Ballistic Bobcat, güvenliği ihlal edilmiş sistemlerde, bu blog yazısında Sponsor arka kapısıyla birlikte açıkladığımız çeşitli açık kaynaklı araçları kullanmaya devam ediyor.
kurban seçimi
34 kurbanın önemli bir çoğunluğu İsrail'de bulunuyordu; yalnızca ikisi diğer ülkelerde bulunuyordu:
- Brezilya, bir tıbbi kooperatif ve sağlık sigortası operatöründe ve
- Birleşik Arap Emirlikleri, kimliği belirsiz bir kuruluşta.
REF _Ref112861418 h tablo 1
İsrail'deki mağdurlara yönelik dikeyleri ve organizasyonel ayrıntıları açıklıyor.
tablo SEQ Tablosu * ARAPÇA 1. İsrail'deki mağdurlar için dikeyler ve organizasyonel ayrıntılar
Dikey |
- Detaylar |
Otomotiv |
· Özel modifikasyonlar konusunda uzmanlaşmış bir otomotiv şirketi. · Bir otomotiv tamir ve bakım şirketi. |
İletişim |
· İsrailli bir medya kuruluşu. |
Mühendislik |
· Bir inşaat mühendisliği firması. · Bir çevre mühendisliği firması. · Bir mimari tasarım firması. |
Finansal hizmetler |
· Yatırım danışmanlığı konusunda uzmanlaşmış bir finansal hizmetler şirketi. · Telif haklarını yöneten bir şirket. |
Sağlık hizmeti |
· Bir tıbbi bakım sağlayıcısı. |
Sigorta |
· Sigorta pazarını işleten bir sigorta şirketi. · Ticari bir sigorta şirketi. |
Kanun |
· Tıp hukuku alanında uzmanlaşmış bir firma. |
Üretim |
· Çoklu elektronik üretim şirketleri. · Metal bazlı ticari ürünler üreten bir şirket. · Çok uluslu bir teknoloji üretim şirketi. |
Perakende |
· Bir gıda perakendecisi. · Çok uluslu bir elmas perakendecisi. · Cilt bakım ürünleri perakendecisi. · Bir pencere işleme perakendecisi ve kurulumcusu. · Küresel bir elektronik parça tedarikçisi. · Fiziksel erişim kontrolü tedarikçisi. |
Teknoloji |
· Bir BT hizmetleri teknoloji şirketi. · Bir BT çözümleri sağlayıcısı. |
Telekomünikasyon |
· Bir telekomünikasyon şirketi. |
tanımlanamayan |
· Birden fazla tanımlanamayan kuruluş. |
atfetme
Ağustos 2021'de, bir sigorta pazarı işleten yukarıdaki İsrailli kurban, Balistik Bobcat tarafından aletlerle saldırıya uğradı CISA Kasım 2021'de rapor edildi. Gözlemlediğimiz uzlaşma göstergeleri şunlardır:
- MicrosoftOutlookGüncelleme Programı,
- MicrosoftOutlookUpdateSchedule.xml,
- GoogleDeğişim Yönetimi, ve
- GoogleChangeManagement.xml.
Balistik Bobcat araçları, CISA raporundakiyle aynı komuta ve kontrol (C&C) sunucusuyla iletişim kuruyordu: 162.55.137[.]20.
Daha sonra Eylül 2021'de aynı kurban yeni nesil Balistik Bobcat aletlerini aldı: Güç Az arka kapı ve destekleyici araç seti. Gözlemlediğimiz uzlaşma göstergeleri şunlardı:
- http://162.55.137[.]20/gsdhdDdfgA5sS/ff/dll.dll,
- Windowsprocesses.exe, ve
- http://162.55.137[.]20/gsdhdDdfgA5sS/ff/windowsprocesses.exe.
Kasım ayında 18th2021'de grup daha sonra başka bir aracı devreye aldı (plink) CISA raporunda ele alınan MicrosoftOutLookUpdater.exe. On gün sonra, 28 Kasım'dath2021, Balistik Bobcat Merlin ajanı (bir ajanın aracı kısmı Go'da yazılmış açık kaynak kullanım sonrası C&C sunucusu ve aracısı). Diskte bu Merlin ajanının adı vardı googleUpdate.exe, açıkça gizlemek için CISA raporunda açıklananla aynı adlandırma kuralını kullanıyor.
Merlin aracısı, yeni bir C&C sunucusuna geri çağrılan bir Meterpreter ters kabuğunu çalıştırdı. 37.120.222[.]168:80. 12 Aralık'tath2021, ters kabuk bir toplu iş dosyasını düşürdü, install.batve toplu iş dosyasını çalıştırdıktan birkaç dakika sonra Balistik Bobcat operatörleri en yeni arka kapıları olan Sponsor'u devreye soktu. Bunun arka kapının üçüncü versiyonu olduğu ortaya çıktı.
Teknik analiz
İlk erişim
ESET telemetrisinde gözlemlediğimiz 23 kurbanın 34'ü için olası bir ilk erişim yöntemini tespit edebildik. Haberde anlatılanlara benzer Güçsüz ve CISA Raporlara göre Balistik Bobcat muhtemelen bilinen bir güvenlik açığından yararlandı, CVE-2021-26855, Microsoft Exchange sunucularında bu sistemlerde yer edinmek için.
16 kurbandan 34'sının sistemlerine erişimi olan tek tehdit unsurunun Balistik Bobcat olmadığı görülüyor. Bu, kurbanların çok çeşitli olması ve birkaç kurbanın bariz istihbarat değerinin eksikliğinin yanı sıra, Balistik Bobcat'in, önceden seçilmiş kurbanlara karşı hedefli bir kampanya yerine tarama ve yararlanma davranışı sergilediğini gösterebilir.
Araç Seti
Açık kaynak araçları
Ballistic Bobcat, Sponsor Erişimi kampanyası sırasında bir dizi açık kaynak araçtan yararlandı. Bu araçlar ve işlevleri şu şekilde listelenmiştir: REF _Ref112861458 h tablo 2
.
tablo SEQ Tablosu * ARAPÇA 2. Ballistic Bobcat tarafından kullanılan açık kaynaklı araçlar
Dosya adı |
Açıklama |
host2ip.exe
|
Haritalar a bir IP adresine ana bilgisayar adı yerel ağ içinde. |
CSRSS.exe
|
RevSocksters tünel uygulamasıdır. |
mi.exe
|
Mimikatz, orijinal dosya adıyla midongle.exe ve ile paketlenmiş Armadillo PE paketleyici. |
gost.exe
|
GO Basit Tünel (GOST), Go'da yazılmış bir tünel uygulaması. |
keski.exe
|
keski, SSH katmanlarını kullanan HTTP üzerinden bir TCP/UDP tüneli. |
csrss_protected.exe
|
RevSocks tüneli, deneme sürümüyle korunuyor Enigma Protector yazılım koruması. |
plink.exe
|
plink (PuTTY Link), bir komut satırı bağlantı aracıdır. |
WebBrowserPassView.exe
|
A şifre kurtarma aracı Web tarayıcılarında saklanan şifreler için.
|
sqlextractor.exe
|
A araç SQL veritabanlarıyla etkileşim kurmak ve bunlardan veri çıkarmak için. |
procdump64.exe
|
ProcDump, Uygulamaları izlemek ve kilitlenme dökümleri oluşturmak için Sysinternals komut satırı yardımcı programı. |
Toplu dosyalar
Balistik Bobcat, Sponsor arka kapısını yerleştirmeden hemen önce toplu dosyaları kurbanların sistemlerine dağıttı. Bildiğimiz dosya yolları şunlardır:
- C:inetpubwwwrootaspnet_clientInstall.bat
- %USERPROFILE%DesktopInstall.bat
- %WINDOWS%TasksInstall.bat
Ne yazık ki bu toplu iş dosyalarının hiçbirini alamadık. Ancak, Sponsor arka kapısının tam olarak çalışması için gerekli olan, zararsız yapılandırma dosyalarını diske yazdıklarına inanıyoruz. Bu yapılandırma dosya adları Sponsorun arka kapılarından alınmış ancak hiçbir zaman toplanmamıştır:
- yapılandırma.txt
- düğüm.txt
- hata.txt
- Kaldırma.bat
Toplu iş dosyalarının ve yapılandırma dosyalarının, Ballistic Bobcat'in son birkaç yılda tercih ettiği modüler geliştirme sürecinin bir parçası olduğuna inanıyoruz.
Sponsor arka kapısı
Sponsor arka kapıları, derleme zaman damgaları ve Program Veritabanı (PDB) yolları ile aşağıdaki şekilde gösterildiği gibi C++ dilinde yazılmıştır: REF _Ref112861527 h tablo 3
. Sürüm numaralarıyla ilgili bir not: sütun Sürümü Bir sürümden diğerine değişikliklerin yapıldığı Sponsor arka kapılarının doğrusal ilerlemesine dayalı olarak dahili olarak takip ettiğimiz sürümü temsil eder. Dahili sürüm sütunu, her bir Sponsor arka kapısında gözlemlenen sürüm numaralarını içerir ve bunlar ve diğer potansiyel Sponsor örnekleri incelenirken karşılaştırma kolaylığı sağlamak amacıyla dahil edilmiştir.
tablo 3. Sponsor derleme zaman damgaları ve PDB'ler
Sürümü |
Dahili sürüm |
Derleme zaman damgası |
PDB |
1 |
1.0.0 |
2021-08-29 09:12:51 |
D:TempBD_Plus_SrvcReleaseBD_Plus_Srvc.pdb |
2 |
1.0.0 |
2021-10-09 12:39:15 |
D:TempSponsorReleaseSponsor.pdb |
3 |
1.4.0 |
2021-11-24 11:51:55 |
D:TempSponsorReleaseSponsor.pdb |
4 |
2.1.1 |
2022-02-19 13:12:07 |
D:TempSponsorReleaseSponsor.pdb |
5 |
1.2.3.0 |
2022-06-19 14:14:13 |
D:TempAluminaReleaseAlumina.pdb |
Sponsor'un ilk yürütülmesi çalışma zamanı argümanını gerektirir kurmakSponsorun zarif bir şekilde çıktığı, muhtemelen basit bir emülasyon önleme/sanal alan önleme tekniği. Bu argüman geçilirse, Sponsor şu adı taşıyan bir hizmet oluşturur: SistemAğı (bölgesindeki v1) Ve Güncelleme (diğer tüm versiyonlarda). Hizmetin ayarını yapar Başlangıç Türü için Otomatik, kendi Sponsor sürecini yürütecek şekilde ayarlar ve ona tam erişim izni verir. Daha sonra hizmeti başlatır.
Artık bir hizmet olarak çalışan Sponsor, daha önce diske yerleştirilmiş olan yukarıda belirtilen yapılandırma dosyalarını açmaya çalışır. arar yapılandırma.txt ve düğüm.txt, her ikisi de geçerli çalışma dizininde. Birincisi eksikse, Sponsor hizmeti şu şekilde ayarlar: Durduruldu ve zarif bir şekilde çıkar.
Arka kapı yapılandırması
Sponsorun yapılandırması, içinde saklanır yapılandırma.txt, iki alan içerir:
- Komutlar için C&C sunucusuyla periyodik olarak iletişim kurmak için saniye cinsinden bir güncelleme aralığı.
- C&C sunucularının bir listesi; röleleri Sponsorun ikili dosyalarında.
C&C sunucuları şifrelenmiş (RC4) olarak saklanır ve şifre çözme anahtarı, şifrenin ilk satırında bulunur. yapılandırma.txt. Şifre çözme anahtarı da dahil olmak üzere alanların her biri, şekilde gösterilen formata sahiptir. REF _Ref142647636 h şekil 3
.
Bu alt alanlar şunlardır:
- yapılandırma_başlangıcı: uzunluğunu gösterir yapılandırma_adıVarsa , yoksa sıfır. Nerede olduğunu bilmek için arka kapı tarafından kullanılır yapılandırma_verisi başlar.
- yapılandırma_len: uzunluğu yapılandırma_verisi.
- yapılandırma_adı: isteğe bağlı, yapılandırma alanına verilen adı içerir.
- yapılandırma_verisi: konfigürasyonun kendisi, şifrelenmiş (C&C sunucuları durumunda) veya şifrelenmemiş (diğer tüm alanlar).
REF _Ref142648473 h şekil 4
olası bir içeriğin renk kodlu içeriğine sahip bir örnek gösterir yapılandırma.txt dosya. Bunun gözlemlediğimiz gerçek bir dosya değil, uydurma bir örnek olduğunu unutmayın.
Son iki alan yapılandırma.txt verileri şifrelemek için anahtar olarak belirtilen şifre çözme anahtarının SHA-4 karmasının dize temsili kullanılarak RC256 ile şifrelenir. Şifrelenmiş baytların hex kodlu olarak ASCII metni olarak saklandığını görüyoruz.
Ev sahibi bilgi toplama
Sponsor, üzerinde çalıştığı ana bilgisayar hakkında bilgi toplar, toplanan tüm bilgileri C&C sunucusuna bildirir ve kendisine yazılan bir düğüm kimliğini alır. düğüm.txt. REF _Ref142653641 h tablo 4
REF _Ref112861575 h
Sponsorun bilgileri almak için kullandığı Windows kayıt defterindeki anahtarları ve değerleri listeler ve toplanan verilere bir örnek sunar.
Tablo 4. Sponsor tarafından toplanan bilgiler
Kayıt anahtarı |
Özellik |
Örnek E-posta |
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
|
Hostadı
|
D-835MK12
|
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTimeZoneInformation
|
Zaman DilimiAnahtarAdı
|
İsrail Standart Saati
|
HKEY_USERS.DEFAULTKontrol PaneliUluslararası
|
Yerel Adı
|
O-IL
|
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSistemBIOS
|
Temel Kart Ürünü
|
10NX0010IL
|
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralİşlemci
|
İşlemciAdıDizesi
|
Intel (R) Çekirdek (TM) i7-8565U CPU @ 1.80GHz
|
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion
|
Ürün adı
|
Windows 10 Enterprise N
|
CurrentVersion
|
6.3
|
|
GeçerliYapıNumarası
|
19044
|
|
Kurulum Türü
|
müşteri
|
Sponsor ayrıca aşağıdakileri kullanarak ana bilgisayarın Windows etki alanını da toplar WMIC komut:
wmic bilgisayar sistemi etki alanı al
Son olarak Sponsor, mevcut kullanıcı adını toplamak için Windows API'lerini kullanır (KullanıcıAdıW'yi Getir), mevcut Sponsor işleminin 32 bit uygulama olarak mı yoksa 64 bit uygulama olarak mı çalıştığını belirleyin (GetCurrentProcess, Daha sonra IsWow64Process(CurrentProcess)) ve sistemin pil gücüyle mi çalıştığını yoksa AC veya DC güç kaynağına mı bağlı olduğunu belirler (GetSystemPowerStatus).
32 veya 64 bit uygulama kontrolüyle ilgili bir tuhaflık, Sponsorun gözlemlenen tüm örneklerinin 32 bit olmasıdır. Bu, bir sonraki aşamadaki bazı araçların bu bilgilere ihtiyaç duyduğu anlamına gelebilir.
Toplanan bilgiler, kodlamadan önce ile başlayan base64 kodlu bir mesajla gönderilir. r ve gösterilen formata sahiptir REF _Ref142655224 h şekil 5
.
Bilgiler RC4 ile şifrelenir ve şifreleme anahtarı, yerinde oluşturulan rastgele bir sayıdır. Anahtar, daha önce de belirtildiği gibi SHA-5 ile değil, MD256 algoritmasıyla karmalanır. Bu, Sponsorun şifrelenmiş veri göndermesi gereken tüm iletişimler için geçerlidir.
C&C sunucusu, daha sonraki iletişimlerde mağdur bilgisayarı tanımlamak için kullanılan ve adresine yazılan bir numarayla yanıt verir. düğüm.txt. C&C sunucusunun listeden rastgele seçildiğini unutmayın. r mesaj gönderilir ve sonraki tüm iletişimlerde aynı sunucu kullanılır.
Komut işleme döngüsü
Sponsor, komutları bir döngü içinde, tanımlanan aralığa göre uyuyarak ister. yapılandırma.txt. Adımlar:
- Gönder chk=Test C&C sunucusu yanıt verene kadar tekrar tekrar mesaj gönderin Ok.
- Gönder c (IS_CMD_AVAIL) C&C sunucusuna mesaj gönderin ve bir operatör komutu alın.
- Komutu işleyin.
- C&C sunucusuna gönderilecek çıktı varsa, bir a (ACK) çıktı dahil (şifrelenmiş) mesaj veya
- Yürütme başarısız olursa, bir f
(
BAŞARISIZ) İleti. Hata mesajı gönderilmiyor.
- Uyku.
The c mesaj, bir komutun yürütülmesini istemek için gönderilir ve aşağıdaki biçimde gösterilen formata sahiptir (base64 kodlamasından önce). REF _Ref142658017 h şekil 6
.
The şifrelenmiş_none şekildeki alan, sabit kodlanmış dizenin şifrelenmesinin sonucudur Hayır RC4 ile. Şifrelemenin anahtarı MD5 karma değeridir. düğüm_kimliği.
C&C sunucusuyla iletişim kurmak için kullanılan URL şu şekilde oluşturulmuştur: http://<IP_or_domain>:80. Bu şunu gösterebilir 37.120.222[.]168:80 Kurban makinelerin 80 numaralı bağlantı noktasından ulaştığını gözlemlediğimiz tek IP adresi olduğundan, Sponsor Erişimi kampanyası boyunca kullanılan tek C&C sunucusudur.
Operatör komutları
Operatör komutları şurada açıklanmıştır: REF _Ref112861551 h tablo 5
ve kodda bulundukları sıraya göre görünürler. C&C sunucusuyla iletişim 80 numaralı bağlantı noktası üzerinden gerçekleşir.
Tablo 5. Operatör komutları ve açıklamaları
Komuta |
Açıklama |
p |
Çalışan Sponsor süreci için süreç kimliğini gönderir. |
e |
Sonraki ek bağımsız değişkende belirtildiği gibi, Sponsor ana bilgisayarında aşağıdaki dizeyi kullanarak bir komutu yürütür: c:windowssystem32cmd.exe /c > sonuç.txt 2>&1 Sonuçlar şurada saklanır: Result.txt geçerli çalışma dizininde. bir gönderir a Başarılı bir şekilde yürütülürse C&C sunucusuna şifrelenmiş çıktı içeren mesaj. Başarısız olursa bir mesaj gönderir f mesaj (hata belirtilmeden). |
d |
C&C sunucusundan bir dosya alır ve onu çalıştırır. Bu komutun birçok argümanı vardır: dosyanın yazılacağı hedef dosya adı, dosyanın MD5 karması, dosyanın yazılacağı dizin (veya varsayılan olarak geçerli çalışma dizini), dosyanın mı yoksa çalıştırılacağını belirten bir Boolean mı? değil ve yürütülebilir dosyanın içeriği base64 kodludur. Herhangi bir hata oluşmazsa, a mesaj C&C sunucusuna gönderilir. Dosyayı başarıyla yükleyin ve yürütün or Dosyayı yürütmeden başarıyla yükle (şifrelenmiş). Dosyanın yürütülmesi sırasında hatalar meydana gelirse, f mesaj gönderilir. Dosya içeriğinin MD5 karması sağlanan karmayla eşleşmiyorsa, e (CRC_ERROR) mesajı C&C sunucusuna gönderilir (yalnızca kullanılan şifreleme anahtarını içerir ve başka hiçbir bilgi içermez). Terimin kullanımı Foto Yükle Balistik Bobcat operatörleri ve kodlayıcılar bakış açısını sunucu tarafından aldıkları için burası potansiyel olarak kafa karıştırıcı olabilir, oysa çoğu kişi bunu, Sponsor arka kapısını kullanan sistem tarafından dosyanın çekilmesine (yani indirilmesine) dayalı bir indirme olarak görebilir. |
u |
kullanarak bir dosyayı indirmeye çalışır. URLİndirmeDosyasıW Windows API'sini seçin ve çalıştırın. Başarı bir mesaj gönderir a Kullanılan şifreleme anahtarını içeren mesaj ve başka bilgi yok. Başarısızlık bir mesaj gönderir f benzer yapıya sahip bir mesajdır. |
s |
Zaten diskte bulunan bir dosyayı çalıştırır, Kaldırma.bat Geçerli çalışma dizininde, büyük olasılıkla arka kapıyla ilgili dosyaları silmeye yönelik komutlar bulunur. |
n |
Bu komut, bir operatör tarafından açıkça sağlanabilir veya Sponsor tarafından başka bir komutun yokluğunda yürütülecek komut olarak çıkarılabilir. Sponsor bünyesinde şu şekilde anılır: NO_CMD, C&C sunucusuna tekrar bağlanmadan önce rastgele bir uyku yürütür. |
b |
Depolanan C&C'lerin listesini günceller yapılandırma.txt geçerli çalışma dizininde. Yeni C&C adresleri öncekilerin yerini alır; listeye eklenmezler. Bir gönderir a ile mesaj |
i |
Belirtilen önceden belirlenmiş check-in aralığını günceller yapılandırma.txt. Bir gönderir a ile mesaj Yeni aralık başarıyla değiştirildi Başarılı bir şekilde güncellendiyse C&C sunucusuna. |
Sponsor Güncellemeleri
Balistik Bobcat kodlayıcıları Sponsor v1 ve v2 arasında kod revizyonları yaptı. İkincisindeki en önemli iki değişiklik şunlardır:
- Birkaç uzun fonksiyonun fonksiyonlara ve alt fonksiyonlara küçültüldüğü kodun optimizasyonu ve
- Hizmet yapılandırmasına aşağıdaki mesajı ekleyerek Sponsoru güncelleyici program olarak gizlemek:
Uygulama güncellemeleri hem uygulama kullanıcıları hem de uygulamalar için mükemmeldir; güncellemeler, geliştiricilerin her güncellemede daha iyi bir müşteri deneyimi sunmayı akılda tutarak her zaman uygulamayı iyileştirmeye çalıştıkları anlamına gelir.
Ağ altyapısı
Ballistic Bobcat, PowerLess kampanyasında kullanılan C&C altyapısını desteklemenin yanı sıra yeni bir C&C sunucusunu da tanıttı. Grup ayrıca Sponsor Erişimi kampanyası sırasında destek araçlarını depolamak ve sunmak için birden fazla IP'den yararlandı. Bu IP'lerden hiçbirinin şu anda kullanımda olmadığını doğruladık.
Sonuç
Balistik Bobcat, internete açık Microsoft Exchange sunucularındaki yamalanmamış güvenlik açıkları ile fırsat hedefleri arayarak tarama ve yararlanma modeli üzerinde çalışmaya devam ediyor. Grup, Sponsor arka kapısı da dahil olmak üzere çeşitli özel uygulamalarla desteklenen çeşitli açık kaynaklı araç setini kullanmaya devam ediyor. Savunmacılara, internete maruz kalan tüm cihazlara yama yapmaları ve kuruluşlarında ortaya çıkan yeni uygulamalara karşı tetikte olmaları tavsiye edilir.
WeLiveSecurity'de yayınlanan araştırmamızla ilgili herhangi bir sorunuz için lütfen şu adresten bizimle iletişime geçin: tehditintel@eset.com.
ESET Research, özel APT istihbarat raporları ve veri akışları sunar. Bu hizmetle ilgili tüm sorularınız için şu adresi ziyaret edin: ESET Tehdit İstihbaratı gidin.
IOCs
dosyalar
SHA-1 |
Dosya adı |
Bulma |
Açıklama |
098B9A6CE722311553E1D8AC5849BA1DC5834C52
|
N / A |
Win32/Agent.UXG |
Balistik Bobcat arka kapısı, Sponsor (v1). |
5AEE3C957056A8640041ABC108D0B8A3D7A02EBD
|
N / A |
Win32/Agent.UXG |
Balistik Bobcat arka kapısı, Sponsor (v2). |
764EB6CA3752576C182FC19CFF3E86C38DD51475
|
N / A |
Win32/Agent.UXG |
Balistik Bobcat arka kapısı, Sponsor (v3). |
2F3EDA9D788A35F4C467B63860E73C3B010529CC
|
N / A |
Win32/Agent.UXG |
Balistik Bobcat arka kapısı, Sponsor (v4). |
E443DC53284537513C00818392E569C79328F56F
|
N / A |
Win32/Agent.UXG |
Balistik Bobcat arka kapısı, Sponsor (v5, diğer adıyla Alümina). |
C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61
|
N / A |
WinGo/Ajan.BT |
RevSocks ters tünel. |
39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6
|
N / A |
çamça |
ProcDump, uygulamaları izlemek ve kilitlenme dökümleri oluşturmak için kullanılan bir komut satırı yardımcı programıdır. |
A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A
|
N / A |
Genel.EYWYQYF |
Mimikatz. |
5D60C8507AC9B840A13FFDF19E3315A3E14DE66A
|
N / A |
WinGo/Riskware.Gost.D |
GO Basit Tünel (GOST). |
50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617
|
N / A |
WinGo/HackTool.Chisel.A |
Keski ters tünel. |
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252
|
N / A |
N / A |
Host2IP keşif aracı. |
519CA93366F1B1D71052C6CE140F5C80CE885181
|
N / A |
Win64/Packed.Enigma.BV |
RevSocks tüneli, Enigma Protector yazılım korumasının deneme sürümüyle korunmaktadır. |
4709827C7A95012AB970BF651ED5183083366C79
|
N / A |
N / A |
Plink (PuTTY Link), bir komut satırı bağlantı aracıdır. |
99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8
|
N / A |
Win32/PSWTool.WebBrowserPassView.I |
Web tarayıcılarında saklanan şifreler için bir şifre kurtarma aracı. |
E52AA118A59502790A4DD6625854BD93C0DEAF27
|
N / A |
MSIL/HackTool.SQLDump.A |
SQL veritabanlarıyla etkileşim kurmak ve onlardan veri çıkarmak için bir araç. |
Dosya yolları
Aşağıda Sponsor arka kapısının mağdur makinelere yerleştirildiği yolların bir listesi bulunmaktadır.
%SYSTEMDRIVE%inetpubwwwrootaspnet_client
%USERPROFILE%AppDataLocalTempfile
%USERPROFILE%AppDataLocalTemp2low
%USERPROFILE%Masaüstü
%USERPROFILE%İndirmea
% WINDIR%
%WINDIR%INFMSExchange Teslimatı DSN
%WINDIR%Görevler
%WINDIR%Temp%WINDIR%Tempcrashpad1Files
ağ
IP
Provider
İlk görüş
Son görülme
- Detaylar
162.55.137[.]20
Hetzner Çevrimiçi GMBH
2021-06-14
2021-06-15
Güçsüz Kontrol ve Kontrol.
37.120.222[.]168
M247 LTD
2021-11-28
2021-12-12
Sponsor C&C.
198.144.189[.]74
Kolokroslama
2021-11-29
2021-11-29
Destek araçları indirme sitesi.
5.255.97[.]172
Altyapı Grubu BV
2021-09-05
2021-10-28
Destek araçları indirme sitesi.
IP
Provider
İlk görüş
Son görülme
- Detaylar
162.55.137[.]20
Hetzner Çevrimiçi GMBH
2021-06-14
2021-06-15
Güçsüz Kontrol ve Kontrol.
37.120.222[.]168
M247 LTD
2021-11-28
2021-12-12
Sponsor C&C.
198.144.189[.]74
Kolokroslama
2021-11-29
2021-11-29
Destek araçları indirme sitesi.
5.255.97[.]172
Altyapı Grubu BV
2021-09-05
2021-10-28
Destek araçları indirme sitesi.
Bu tablo kullanılarak yapılmıştır sürümü 13 MITRE ATT&CK çerçevesinin.
taktik |
ID |
Name |
Açıklama |
Keşif |
Aktif Tarama: Güvenlik Açığı Taraması |
Balistik Bobcat, yararlanılacak Microsoft Exchange Sunucularının güvenlik açığı bulunan sürümlerini tarar. |
|
Kaynak geliştirme |
Yetenek Geliştirme: Kötü Amaçlı Yazılım |
Balistik Bobcat, Sponsor arka kapısını tasarladı ve kodladı. |
|
Yetenekleri Elde Edin: Araç |
Ballistic Bobcat, Sponsor Erişimi kampanyasının bir parçası olarak çeşitli açık kaynaklı araçlar kullanıyor. |
||
İlk Erişim |
Halka Açık Uygulamadan Yararlanma |
Balistik Bobcat internete maruz kalan hedefleri hedefliyor Microsoft Exchange Sunucuları. |
|
infaz |
Komut ve Komut Dosyası Yorumlayıcısı: Windows Komut Kabuğu |
Sponsorun arka kapısı, kurbanın sisteminde komutları yürütmek için Windows komut kabuğunu kullanır. |
|
Sistem Hizmetleri: Hizmet Yürütme |
Sponsor arka kapısı kendisini bir hizmet olarak belirler ve hizmet yürütüldükten sonra birincil işlevlerini başlatır. |
||
Sebat |
Sistem İşlemini Oluşturun veya Değiştirin: Windows Hizmeti |
Sponsor, birincil işlevlerini bir döngü içinde yürüten otomatik başlatmalı bir hizmet oluşturarak kalıcılığı korur. |
|
Ayrıcalık Artışı |
Geçerli Hesaplar: Yerel Hesaplar |
Balistik Bobcat operatörleri, Sponsor arka kapısını yerleştirmeden önce bir sistemden ilk kez yararlandıktan sonra geçerli kullanıcıların kimlik bilgilerini çalmaya çalışır. |
|
Savunmadan Kaçınma |
Dosyaları veya Bilgileri Gizleme/Kod Çözme |
Sponsor, bilgileri şifrelenmiş ve karartılmış diskte saklar ve çalışma zamanında bu bilgilerin gizliliğini kaldırır. |
|
Gizlenmiş Dosyalar veya Bilgiler |
Sponsor arka kapısının diskte ihtiyaç duyduğu yapılandırma dosyaları şifrelenir ve gizlenir. |
||
Geçerli Hesaplar: Yerel Hesaplar |
Sponsor, muhtemelen operatörlerin diskte bulduğu kimlik bilgilerini kullanarak yönetici ayrıcalıklarıyla yürütülür; Balistik Bobcat'in zararsız adlandırma kurallarıyla birlikte bu, Sponsor'un arka plana uyum sağlamasına olanak tanır. |
||
Kimlik Bilgileri Erişimi |
Parola Depolarından Kimlik Bilgileri: Web Tarayıcılarından Kimlik Bilgileri |
Balistik Bobcat operatörleri, web tarayıcılarının içindeki şifre depolarından kimlik bilgilerini çalmak için açık kaynaklı araçlar kullanıyor. |
|
Keşif |
Uzaktan Sistem Keşfi |
Ballistic Bobcat, ulaşılabilir ağlardaki diğer sistemleri keşfetmek ve bunların ana bilgisayar adları ile IP adreslerini ilişkilendirmek için daha önce Agrius tarafından kullanılan Host2IP aracını kullanıyor. |
|
Komuta ve kontrol |
Veri Gizlemesi |
Sponsor arka kapısı, verileri C&C sunucusuna göndermeden önce gizler. |
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. Otomotiv / EV'ler, karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- ChartPrime. Ticaret Oyununuzu ChartPrime ile yükseltin. Buradan Erişin.
- Blok Ofsetleri. Çevre Dengeleme Sahipliğini Modernleştirme. Buradan Erişin.
- Kaynak: https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/
- :vardır
- :dır-dir
- :olumsuzluk
- :Neresi
- $UP
- 09
- 1
- 10
- 11
- 12
- 13
- 14
- İNDİRİM
- 150
- 16
- 179
- 20
- 2021
- 2022
- 23
- 24
- 25
- 31
- 39
- 51
- 60
- 7
- 8
- 80
- 9
- a
- Yapabilmek
- Hakkımızda
- yukarıdaki
- AC
- erişim
- Göre
- Hesaplar
- aktif
- aktivistler
- etkinlik
- gerçek
- katma
- ilave
- Ek
- adres
- adresleri
- Gizem
- ileri
- Sonra
- karşı
- Danışman
- aka
- Uyarmak
- algoritma
- Türkiye
- veriyor
- boyunca
- zaten
- Ayrıca
- her zaman
- an
- analiz
- ve
- Başka
- herhangi
- api
- API'ler
- uygulamayı yükleyeceğiz
- bariz
- görünmek
- belirir
- Uygulama
- uygulamaları
- yaklaşım
- uygulamalar
- APT
- Arap
- Arap Emirlikleri
- Arapça
- mimari
- ARE
- tartışma
- argümanlar
- AS
- sormak
- At
- teşebbüs
- Denemeler
- Ağustos
- Otomatik
- otomotiv
- farkında
- Arka
- arka kapı
- arka kapılar
- arka fon
- merkezli
- pil
- BE
- oldu
- Çünkü
- olmuştur
- önce
- davranış
- Inanmak
- İYİ
- Daha iyi
- arasında
- Karışım
- her ikisi de
- Brezilya
- tarayıcılar
- yapılı
- fakat
- by
- C + +
- denilen
- Kampanya
- Kampanyalar
- CAN
- yetenekleri
- hangi
- dava
- Merkez
- değişiklikler
- Kontrol
- denetleme
- seçilmiş
- sivil
- açık
- kod
- kodlu
- toplamak
- Sütun
- COM
- ticari
- Yakın İletişim
- İletişim
- Şirketler
- şirket
- karşılaştırma
- uzlaşma
- Uzlaşılmış
- bilgisayar
- iletken
- yapılandırma
- ONAYLANDI
- kafa karıştırıcı
- bağlı
- bağ
- UAF ile
- içeren
- içindekiler
- devam ediyor
- kontrol
- Kongre
- kooperatif
- olabilir
- ülkeler
- ülke
- kaplı
- Crash
- oluşturur
- Oluşturma
- Tanıtım
- akım
- görenek
- müşteri
- müşteri deneyimi
- veri
- veritabanı
- veritabanları
- Günler
- dc
- Aralık
- Varsayılan
- Defenders
- tanımlı
- teslim etmek
- teslim
- konuşlandırılmış
- dağıtma
- açılma
- tanımlamak
- tarif edilen
- Dizayn
- tasarlanmış
- ayrıntılar
- algılandı
- Bulma
- Belirlemek
- belirleyen
- geliştiriciler
- gelişme
- Cihaz
- Pırlanta
- keşfetmek
- keşfetti
- keşif
- dağıtım
- çeşitli
- yok
- domain
- indir
- düştü
- süre
- sırasında
- e
- her
- kolaylaştırmak
- Doğu
- Eğitim
- Elektronik
- Elektronik
- emirlikler
- istihdam
- şifreli
- şifreleme
- meşgul
- nişanlı
- Mühendislik
- Motorlar
- Enigma
- kuruluş
- kişiler
- çevre
- hata
- Hatalar
- ESET Araştırması
- belirgin
- incelenmesi
- örnek
- takas
- yürütmek
- infaz
- çalıştırır
- yürütme
- infaz
- çıkışlar
- deneyim
- sömürmek
- sömürülen
- sömürme
- başarısız
- Başarısızlık
- oldukça
- az
- alan
- Alanlar
- şekil
- fileto
- dosyalar
- mali
- finansal hizmetler
- finansal hizmetler şirketi
- Firma
- Ad
- takip etme
- Gıda
- İçin
- biçim
- bulundu
- dört
- itibaren
- tam
- tamamen
- işlev
- fonksiyonlar
- Kazanç
- toplanmış
- oluşturulan
- üreten
- nesil
- coğrafi
- almak
- verilmiş
- Küresel
- Go
- Hükümet
- yardımlar
- harika
- grup
- Yarım
- esrar
- karma
- Var
- Sağlık
- sağlık Sigortası
- sağlık
- okuyun
- gizlemek
- ev sahibi
- Ancak
- HTML
- http
- HTTPS
- insan
- insan hakları
- i
- ID
- tespit
- belirlemek
- if
- görüntü
- geliştirme
- in
- Diğer
- dahil
- Dahil olmak üzere
- belirtmek
- gösterir
- göstergeler
- bilgi
- Altyapı
- ilk
- başlangıçta
- Başlattı
- Araştırma
- içeride
- sigorta
- İstihbarat
- etkileşim
- ilginç
- içten
- içine
- tanıttı
- yatırım
- IP
- IP Adresi
- IP adresleri
- Israil
- IT
- ONUN
- kendisi
- Gazeteciler
- koruma
- anahtar
- anahtarlar
- Bilmek
- bilinen
- Eksiklik
- Soyad
- sonra
- Kanun
- katmanları
- en az
- uzunluk
- Muhtemelen
- Sınırlı
- çizgi
- LINK
- Liste
- Listelenmiş
- yerel
- bulunan
- uzun
- bakıyor
- GÖRÜNÜYOR
- Makineler
- yapılmış
- tutar
- bakım
- çoğunluk
- yönetir
- üretim
- çok
- çarşı
- Maç
- Mayıs..
- MD5
- ortalama
- anlamına geliyor
- medya
- tıbbi
- Tıbbi bakım
- tıbbi araştırma
- adı geçen
- mesaj
- titiz
- Microsoft
- Orta
- Orta Doğu
- olabilir
- akla
- dakika
- eksik
- model
- mütevazi
- Değişiklikler
- değiştirmek
- modüler
- Anlar
- izleme
- çoğu
- çok uluslu
- çoklu
- isim
- adlı
- adlandırma
- ağ
- ağlar
- asla
- yeni
- en yeni
- sonraki
- yok hayır
- düğüm
- Hayır
- özellikle
- roman
- Kasım
- şimdi
- numara
- sayılar
- elde etmek
- elde
- Açık
- of
- Teklifler
- sık sık
- on
- Spot On
- ONE
- olanlar
- Online
- bir tek
- açık
- açık kaynak
- işletmek
- faaliyet
- operasyon
- Şebeke
- operatörler
- Fırsat
- karşı
- or
- sipariş
- kuruluşlar
- örgütsel
- organizasyonlar
- orijinal
- Diğer
- bizim
- dışarı
- çıkış
- özetlenen
- çıktı
- tekrar
- kendi
- P&E
- paketlenmiş
- Kanal
- yaygın
- Bölüm
- parçalar
- geçti
- Şifre
- şifreleri
- geçmiş
- Patch
- model
- sebat
- personel
- ilaç
- fiziksel
- Sade
- Platon
- Plato Veri Zekası
- PlatoVeri
- Lütfen
- Nokta
- Bakış açısı
- noktaları
- kısım
- mümkün
- potansiyel
- potansiyel
- güç kelimesini seçerim
- mevcut
- önceki
- Önceden
- birincil
- özel
- ayrıcalıklar
- muhtemelen
- süreç
- işleme
- Ürünler
- Programı
- ilerleme
- korumalı
- koruma
- sağlanan
- sağlayan
- sağlar
- yayınlanan
- çeken
- itti
- R
- rasgele
- Rastgele
- daha doğrusu
- uzanarak almak
- teslim almak
- Alınan
- alır
- kurtarma
- Referans
- ilişkin
- kayıt olmak
- kayıt
- ilgili
- kalmak
- onarım
- DEFALARCA
- değiştirmek
- yerine
- rapor
- Bildirilen
- Raporlar
- temsil
- talep
- isteklerinizi
- gerektirir
- gerektirir
- araştırma
- Araştırmacılar
- sonuç
- perakendeci
- ters
- revizyonlar
- haklar
- gayrimaddi
- koşmak
- koşu
- aynı
- testere
- taramak
- tarama
- saniye
- görmek
- göndermek
- gönderme
- gönderir
- gönderdi
- Eylül
- Sunucular
- hizmet
- Hizmetler
- hizmet şirketi
- Setleri
- birkaç
- Kabuk
- şov
- gösterilen
- Gösteriler
- yan
- görme
- önemli
- benzer
- Basit
- yer
- cilt
- uyku
- So
- Yazılım
- Çözümler
- biraz
- Kaynak
- uzmanlaşmış
- uzmanlaşmış
- Belirtilen
- sponsor
- sponsor
- Spot
- Aşama
- standart
- başlar
- başlangıç
- Devletler
- Basamaklar
- mağaza
- saklı
- mağaza
- grev
- dizi
- yapı
- sonraki
- Daha sonra
- başarı
- Başarılı olarak
- Verilen
- satıcı
- destek
- Destek
- sistem
- Sistemler
- tablo
- Bizi daha iyi tanımak için
- alınan
- Hedef
- Hedeflenen
- hedefleme
- hedefler
- Teknoloji
- telekomünikasyon
- on
- dönem
- metin
- göre
- o
- The
- Bilgi
- Dünya
- ve bazı Asya
- sonra
- Orada.
- böylece
- Bunlar
- onlar
- Üçüncü
- Re-Tweet
- Bu
- tehdit
- boyunca
- zaman
- zaman çizelgesi
- TM
- için
- birlikte
- araç
- araçlar
- Toplam
- iz
- tedavi
- deneme
- tünel
- DÖNÜŞ
- iki
- aciz
- Birleşik
- Birleşik arap
- Birleşik Arap Emirlikleri
- USA
- kadar
- Güncelleme
- güncellenmiş
- Güncellemeler
- üzerine
- URL
- us
- kullanım
- Kullanılmış
- kullanıcılar
- kullanım
- kullanma
- yarar
- kullanılan
- Kullanılması
- v1
- değer
- Değerler
- çeşitlilik
- çeşitli
- versiyon
- sürümler
- sektörler
- Kurban
- kurbanlar
- Görüntüle
- Türkiye Dental Sosyal Medya Hesaplarından bizi takip edebilirsiniz.
- güvenlik açıkları
- güvenlik açığı
- Savunmasız
- oldu
- we
- ağ
- internet tarayıcıları
- İYİ
- vardı
- Ne
- ne zaman
- oysa
- olup olmadığını
- hangi
- süre
- geniş
- genişlik
- pencere
- pencereler
- ile
- içinde
- olmadan
- çalışma
- Dünya
- Dünya Sağlık Örgütü
- olur
- yazmak
- yazılı
- yıl
- Evet
- zefirnet
- sıfır