Toplu dosyalanmış bıyıklara sahip sponsor: Balistik Bobcat'in arka kapıyı taraması ve vurması

ESET araştırmacıları, Sponsor adını verdiğimiz yeni bir arka kapıyı kullanarak Brezilya, İsrail ve Birleşik Arap Emirlikleri'ndeki çeşitli kuruluşları hedef alan bir Balistik Bobcat kampanyası keşfetti.

Sponsor'u, Mayıs 2022'de İsrail'deki bir kurbanın sisteminde tespit ettiğimiz ilginç bir örneği analiz ettikten ve kurban kümesini ülkelere göre inceledikten sonra keşfettik. İnceleme sonrasında numunenin Balistik Bobcat APT grubu tarafından kullanılan yeni bir arka kapı olduğu açıkça ortaya çıktı.

Daha önce ESET Research tarafından APT35/APT42 (diğer adıyla Charming Kitten, TA453 veya PHOSPHORUS) olarak takip edilen Balistik Bobcat, şüpheli bir şüpheli. İran'a uyumlu gelişmiş kalıcı tehdit grubu eğitim, hükümet ve sağlık kuruluşlarının yanı sıra insan hakları aktivistleri ve gazetecileri de hedef alıyor. En çok İsrail, Orta Doğu ve Amerika Birleşik Devletleri'nde aktiftir. Pandemi sırasında özellikle Dünya Sağlık Örgütü ve Gilead Pharmaceuticals dahil olmak üzere COVID-19 ile ilgili kuruluşları ve tıbbi araştırma personelini hedef alıyordu.

Balistik Bobcat kampanyaları arasındaki örtüşmeler ve Sponsor arka kapı versiyonları, her biri sınırlı süreli, dar hedefli kampanyalarla oldukça net bir araç geliştirme ve dağıtım modeli göstermektedir. Daha sonra Sponsor arka kapısının dört versiyonunu daha keşfettik. Toplamda, Sponsorun Brezilya, İsrail ve Birleşik Arap Emirlikleri'nde en az 34 mağdura dağıtıldığını gördük.  REF _Ref143075975 h şekil 1
.

Bu blog gönderisinin önemli noktaları:

• Balistik Bobcat tarafından konuşlandırılan ve sonradan Sponsor adını verdiğimiz yeni bir arka kapı keşfettik.
• Balistik Bobcat, Eylül 2021'de CISA Uyarısı AA21-321A ve PowerLess kampanyasında belgelenen kampanyayı tamamlarken yeni arka kapıyı devreye aldı.
• Sponsor arka kapısı, diskte saklanan yapılandırma dosyalarını kullanır. Bu dosyalar, toplu iş dosyaları tarafından gizlice dağıtılır ve zararsız görünecek şekilde kasıtlı olarak tasarlanır, böylece tarama motorları tarafından tespit edilmekten kurtulmaya çalışılır.
• Sponsor Brezilya, İsrail ve Birleşik Arap Emirlikleri'nde en az 34 mağdura dağıtıldı; bu etkinliğe Sponsor Erişimi kampanyası adını verdik.

İlk erişim

Balistik Bobcat, internete açık Microsoft Exchange sunucularındaki bilinen güvenlik açıklarından yararlanarak, ilk önce potansiyel zayıflıkları veya güvenlik açıklarını tespit etmek için sistem veya ağ üzerinde titiz bir tarama gerçekleştirerek ve ardından belirlenen bu zayıflıkları hedef alıp bunlardan yararlanarak ilk erişimi elde etti. Grubun bir süredir bu davranışta bulunduğu biliniyor. Bununla birlikte, ESET telemetrisinde tanımlanan 34 kurbanın çoğu, önceden seçilmiş ve araştırılmış kurbanlar yerine fırsat kurbanları olarak tanımlanabilir; çünkü Balistik Bobcat'in yukarıda açıklanan tarama ve yararlanma davranışında bulunduğundan şüpheleniyoruz çünkü tek tehdit bu değil. Bu sistemlere erişimi olan aktör. Sponsor arka kapısını kullanan bu Balistik Bobcat etkinliğine Sponsor Erişim kampanyası adını verdik.

Sponsor arka kapısı, toplu iş dosyalarının bıraktığı diskteki yapılandırma dosyalarını kullanır ve her ikisi de tarama motorlarını atlayacak kadar zararsızdır. Bu modüler yaklaşım, Balistik Bobcat'in son iki buçuk yılda oldukça sık ve mütevazı bir başarıyla kullandığı bir yaklaşımdır. Ballistic Bobcat, güvenliği ihlal edilmiş sistemlerde, bu blog yazısında Sponsor arka kapısıyla birlikte açıkladığımız çeşitli açık kaynaklı araçları kullanmaya devam ediyor.

kurban seçimi

34 kurbanın önemli bir çoğunluğu İsrail'de bulunuyordu; yalnızca ikisi diğer ülkelerde bulunuyordu:

• Brezilya, bir tıbbi kooperatif ve sağlık sigortası operatöründe ve
• Birleşik Arap Emirlikleri, kimliği belirsiz bir kuruluşta.

 REF _Ref112861418 h tablo 1
İsrail'deki mağdurlara yönelik dikeyleri ve organizasyonel ayrıntıları açıklıyor.

tablo  SEQ Tablosu * ARAPÇA 1. İsrail'deki mağdurlar için dikeyler ve organizasyonel ayrıntılar

Dikey	- Detaylar
Otomotiv	·       Özel modifikasyonlar konusunda uzmanlaşmış bir otomotiv şirketi. ·       Bir otomotiv tamir ve bakım şirketi.
İletişim	·       İsrailli bir medya kuruluşu.
Mühendislik	·       Bir inşaat mühendisliği firması. ·       Bir çevre mühendisliği firması. ·       Bir mimari tasarım firması.
Finansal hizmetler	·       Yatırım danışmanlığı konusunda uzmanlaşmış bir finansal hizmetler şirketi. ·       Telif haklarını yöneten bir şirket.
Sağlık hizmeti	·       Bir tıbbi bakım sağlayıcısı.
Sigorta	·       Sigorta pazarını işleten bir sigorta şirketi. ·       Ticari bir sigorta şirketi.
Kanun	·       Tıp hukuku alanında uzmanlaşmış bir firma.
Üretim	·       Çoklu elektronik üretim şirketleri. ·       Metal bazlı ticari ürünler üreten bir şirket. ·       Çok uluslu bir teknoloji üretim şirketi.
Perakende	·       Bir gıda perakendecisi. ·       Çok uluslu bir elmas perakendecisi. ·       Cilt bakım ürünleri perakendecisi. ·       Bir pencere işleme perakendecisi ve kurulumcusu. ·       Küresel bir elektronik parça tedarikçisi. ·       Fiziksel erişim kontrolü tedarikçisi.
Teknoloji	·       Bir BT hizmetleri teknoloji şirketi. ·       Bir BT çözümleri sağlayıcısı.
Telekomünikasyon	·       Bir telekomünikasyon şirketi.
tanımlanamayan	·       Birden fazla tanımlanamayan kuruluş.

atfetme

Ağustos 2021'de, bir sigorta pazarı işleten yukarıdaki İsrailli kurban, Balistik Bobcat tarafından aletlerle saldırıya uğradı CISA Kasım 2021'de rapor edildi. Gözlemlediğimiz uzlaşma göstergeleri şunlardır:

• MicrosoftOutlookGüncelleme Programı,
• MicrosoftOutlookUpdateSchedule.xml,
• GoogleDeğişim Yönetimi, ve
• GoogleChangeManagement.xml.

Balistik Bobcat araçları, CISA raporundakiyle aynı komuta ve kontrol (C&C) sunucusuyla iletişim kuruyordu: 162.55.137[.]20.

Daha sonra Eylül 2021'de aynı kurban yeni nesil Balistik Bobcat aletlerini aldı: Güç Az arka kapı ve destekleyici araç seti. Gözlemlediğimiz uzlaşma göstergeleri şunlardı:

• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/dll.dll,
• Windowsprocesses.exe, ve
• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/windowsprocesses.exe.

Kasım ayında 18^th2021'de grup daha sonra başka bir aracı devreye aldı (plink) CISA raporunda ele alınan MicrosoftOutLookUpdater.exe. On gün sonra, 28 Kasım'da^th2021, Balistik Bobcat Merlin ajanı (bir ajanın aracı kısmı Go'da yazılmış açık kaynak kullanım sonrası C&C sunucusu ve aracısı). Diskte bu Merlin ajanının adı vardı googleUpdate.exe, açıkça gizlemek için CISA raporunda açıklananla aynı adlandırma kuralını kullanıyor.

Merlin aracısı, yeni bir C&C sunucusuna geri çağrılan bir Meterpreter ters kabuğunu çalıştırdı. 37.120.222[.]168:80. 12 Aralık'ta^th2021, ters kabuk bir toplu iş dosyasını düşürdü, install.batve toplu iş dosyasını çalıştırdıktan birkaç dakika sonra Balistik Bobcat operatörleri en yeni arka kapıları olan Sponsor'u devreye soktu. Bunun arka kapının üçüncü versiyonu olduğu ortaya çıktı.

Teknik analiz

İlk erişim

ESET telemetrisinde gözlemlediğimiz 23 kurbanın 34'ü için olası bir ilk erişim yöntemini tespit edebildik. Haberde anlatılanlara benzer Güçsüz ve CISA Raporlara göre Balistik Bobcat muhtemelen bilinen bir güvenlik açığından yararlandı, CVE-2021-26855, Microsoft Exchange sunucularında bu sistemlerde yer edinmek için.

16 kurbandan 34'sının sistemlerine erişimi olan tek tehdit unsurunun Balistik Bobcat olmadığı görülüyor. Bu, kurbanların çok çeşitli olması ve birkaç kurbanın bariz istihbarat değerinin eksikliğinin yanı sıra, Balistik Bobcat'in, önceden seçilmiş kurbanlara karşı hedefli bir kampanya yerine tarama ve yararlanma davranışı sergilediğini gösterebilir.

Araç Seti

Açık kaynak araçları

Ballistic Bobcat, Sponsor Erişimi kampanyası sırasında bir dizi açık kaynak araçtan yararlandı. Bu araçlar ve işlevleri şu şekilde listelenmiştir:  REF _Ref112861458 h tablo 2
.

tablo  SEQ Tablosu * ARAPÇA 2. Ballistic Bobcat tarafından kullanılan açık kaynaklı araçlar

Dosya adı	Açıklama
host2ip.exe	Haritalar a bir IP adresine ana bilgisayar adı yerel ağ içinde.
CSRSS.exe	RevSocksters tünel uygulamasıdır.
mi.exe	Mimikatz, orijinal dosya adıyla midongle.exe ve ile paketlenmiş Armadillo PE paketleyici.
gost.exe	GO Basit Tünel (GOST), Go'da yazılmış bir tünel uygulaması.
keski.exe	keski, SSH katmanlarını kullanan HTTP üzerinden bir TCP/UDP tüneli.
csrss_protected.exe	RevSocks tüneli, deneme sürümüyle korunuyor Enigma Protector yazılım koruması.
plink.exe	plink (PuTTY Link), bir komut satırı bağlantı aracıdır.
WebBrowserPassView.exe	A şifre kurtarma aracı Web tarayıcılarında saklanan şifreler için.
sqlextractor.exe	A araç SQL veritabanlarıyla etkileşim kurmak ve bunlardan veri çıkarmak için.
procdump64.exe	ProcDump,  Uygulamaları izlemek ve kilitlenme dökümleri oluşturmak için Sysinternals komut satırı yardımcı programı.

Toplu dosyalar

Balistik Bobcat, Sponsor arka kapısını yerleştirmeden hemen önce toplu dosyaları kurbanların sistemlerine dağıttı. Bildiğimiz dosya yolları şunlardır:

• C:inetpubwwwrootaspnet_clientInstall.bat
• %USERPROFILE%DesktopInstall.bat
• %WINDOWS%TasksInstall.bat

Ne yazık ki bu toplu iş dosyalarının hiçbirini alamadık. Ancak, Sponsor arka kapısının tam olarak çalışması için gerekli olan, zararsız yapılandırma dosyalarını diske yazdıklarına inanıyoruz. Bu yapılandırma dosya adları Sponsorun arka kapılarından alınmış ancak hiçbir zaman toplanmamıştır:

• yapılandırma.txt
• düğüm.txt
• hata.txt
• Kaldırma.bat

Toplu iş dosyalarının ve yapılandırma dosyalarının, Ballistic Bobcat'in son birkaç yılda tercih ettiği modüler geliştirme sürecinin bir parçası olduğuna inanıyoruz.

Sponsor arka kapısı

Sponsor arka kapıları, derleme zaman damgaları ve Program Veritabanı (PDB) yolları ile aşağıdaki şekilde gösterildiği gibi C++ dilinde yazılmıştır:  REF _Ref112861527 h tablo 3
. Sürüm numaralarıyla ilgili bir not: sütun Sürümü Bir sürümden diğerine değişikliklerin yapıldığı Sponsor arka kapılarının doğrusal ilerlemesine dayalı olarak dahili olarak takip ettiğimiz sürümü temsil eder. Dahili sürüm sütunu, her bir Sponsor arka kapısında gözlemlenen sürüm numaralarını içerir ve bunlar ve diğer potansiyel Sponsor örnekleri incelenirken karşılaştırma kolaylığı sağlamak amacıyla dahil edilmiştir.

tablo 3. Sponsor derleme zaman damgaları ve PDB'ler

Sürümü	Dahili sürüm	Derleme zaman damgası	PDB
1	1.0.0	2021-08-29 09:12:51	D:TempBD_Plus_SrvcReleaseBD_Plus_Srvc.pdb
2	1.0.0	2021-10-09 12:39:15	D:TempSponsorReleaseSponsor.pdb
3	1.4.0	2021-11-24 11:51:55	D:TempSponsorReleaseSponsor.pdb
4	2.1.1	2022-02-19 13:12:07	D:TempSponsorReleaseSponsor.pdb
5	1.2.3.0	2022-06-19 14:14:13	D:TempAluminaReleaseAlumina.pdb

Sponsor'un ilk yürütülmesi çalışma zamanı argümanını gerektirir kurmakSponsorun zarif bir şekilde çıktığı, muhtemelen basit bir emülasyon önleme/sanal alan önleme tekniği. Bu argüman geçilirse, Sponsor şu adı taşıyan bir hizmet oluşturur: SistemAğı (bölgesindeki v1) Ve Güncelleme (diğer tüm versiyonlarda). Hizmetin ayarını yapar Başlangıç ​​Türü için Otomatik, kendi Sponsor sürecini yürütecek şekilde ayarlar ve ona tam erişim izni verir. Daha sonra hizmeti başlatır.

Artık bir hizmet olarak çalışan Sponsor, daha önce diske yerleştirilmiş olan yukarıda belirtilen yapılandırma dosyalarını açmaya çalışır. arar yapılandırma.txt ve düğüm.txt, her ikisi de geçerli çalışma dizininde. Birincisi eksikse, Sponsor hizmeti şu şekilde ayarlar: Durduruldu ve zarif bir şekilde çıkar.

Arka kapı yapılandırması

Sponsorun yapılandırması, içinde saklanır yapılandırma.txt, iki alan içerir:

• Komutlar için C&C sunucusuyla periyodik olarak iletişim kurmak için saniye cinsinden bir güncelleme aralığı.
• C&C sunucularının bir listesi; röleleri Sponsorun ikili dosyalarında.

C&C sunucuları şifrelenmiş (RC4) olarak saklanır ve şifre çözme anahtarı, şifrenin ilk satırında bulunur. yapılandırma.txt. Şifre çözme anahtarı da dahil olmak üzere alanların her biri, şekilde gösterilen formata sahiptir.  REF _Ref142647636 h şekil 3
.

Bu alt alanlar şunlardır:

• yapılandırma_başlangıcı: uzunluğunu gösterir yapılandırma_adıVarsa , yoksa sıfır. Nerede olduğunu bilmek için arka kapı tarafından kullanılır yapılandırma_verisi başlar.
• yapılandırma_len: uzunluğu yapılandırma_verisi.
• yapılandırma_adı: isteğe bağlı, yapılandırma alanına verilen adı içerir.
• yapılandırma_verisi: konfigürasyonun kendisi, şifrelenmiş (C&C sunucuları durumunda) veya şifrelenmemiş (diğer tüm alanlar).

 REF _Ref142648473 h şekil 4
olası bir içeriğin renk kodlu içeriğine sahip bir örnek gösterir yapılandırma.txt dosya. Bunun gözlemlediğimiz gerçek bir dosya değil, uydurma bir örnek olduğunu unutmayın.

Son iki alan yapılandırma.txt verileri şifrelemek için anahtar olarak belirtilen şifre çözme anahtarının SHA-4 karmasının dize temsili kullanılarak RC256 ile şifrelenir. Şifrelenmiş baytların hex kodlu olarak ASCII metni olarak saklandığını görüyoruz.

Ev sahibi bilgi toplama

Sponsor, üzerinde çalıştığı ana bilgisayar hakkında bilgi toplar, toplanan tüm bilgileri C&C sunucusuna bildirir ve kendisine yazılan bir düğüm kimliğini alır. düğüm.txt.  REF _Ref142653641 h tablo 4
REF _Ref112861575 h
 Sponsorun bilgileri almak için kullandığı Windows kayıt defterindeki anahtarları ve değerleri listeler ve toplanan verilere bir örnek sunar.

Tablo 4. Sponsor tarafından toplanan bilgiler

Kayıt anahtarı	Özellik	Örnek E-posta
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters	Hostadı	D-835MK12
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTimeZoneInformation	Zaman DilimiAnahtarAdı	İsrail Standart Saati
HKEY_USERS.DEFAULTKontrol PaneliUluslararası	Yerel Adı	O-IL
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSistemBIOS	Temel Kart Ürünü	10NX0010IL
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralİşlemci	İşlemciAdıDizesi	Intel (R) Çekirdek (TM) i7-8565U CPU @ 1.80GHz
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion	Ürün adı	Windows 10 Enterprise N
	CurrentVersion	6.3
	GeçerliYapıNumarası	19044
	Kurulum Türü	müşteri

Sponsor ayrıca aşağıdakileri kullanarak ana bilgisayarın Windows etki alanını da toplar WMIC komut:

wmic bilgisayar sistemi etki alanı al

Son olarak Sponsor, mevcut kullanıcı adını toplamak için Windows API'lerini kullanır (KullanıcıAdıW'yi Getir), mevcut Sponsor işleminin 32 bit uygulama olarak mı yoksa 64 bit uygulama olarak mı çalıştığını belirleyin (GetCurrentProcess, Daha sonra IsWow64Process(CurrentProcess)) ve sistemin pil gücüyle mi çalıştığını yoksa AC veya DC güç kaynağına mı bağlı olduğunu belirler (GetSystemPowerStatus).

32 veya 64 bit uygulama kontrolüyle ilgili bir tuhaflık, Sponsorun gözlemlenen tüm örneklerinin 32 bit olmasıdır. Bu, bir sonraki aşamadaki bazı araçların bu bilgilere ihtiyaç duyduğu anlamına gelebilir.

Toplanan bilgiler, kodlamadan önce ile başlayan base64 kodlu bir mesajla gönderilir. r ve gösterilen formata sahiptir  REF _Ref142655224 h şekil 5
.

Bilgiler RC4 ile şifrelenir ve şifreleme anahtarı, yerinde oluşturulan rastgele bir sayıdır. Anahtar, daha önce de belirtildiği gibi SHA-5 ile değil, MD256 algoritmasıyla karmalanır. Bu, Sponsorun şifrelenmiş veri göndermesi gereken tüm iletişimler için geçerlidir.

C&C sunucusu, daha sonraki iletişimlerde mağdur bilgisayarı tanımlamak için kullanılan ve adresine yazılan bir numarayla yanıt verir. düğüm.txt. C&C sunucusunun listeden rastgele seçildiğini unutmayın. r mesaj gönderilir ve sonraki tüm iletişimlerde aynı sunucu kullanılır.

Komut işleme döngüsü

Sponsor, komutları bir döngü içinde, tanımlanan aralığa göre uyuyarak ister. yapılandırma.txt. Adımlar:

1. Gönder chk=Test C&C sunucusu yanıt verene kadar tekrar tekrar mesaj gönderin Ok.
2. Gönder c (IS_CMD_AVAIL) C&C sunucusuna mesaj gönderin ve bir operatör komutu alın.
3. Komutu işleyin.
   • C&C sunucusuna gönderilecek çıktı varsa, bir a (ACK) çıktı dahil (şifrelenmiş) mesaj veya
   • Yürütme başarısız olursa, bir f (BAŞARISIZ) İleti. Hata mesajı gönderilmiyor.
4. Uyku.

The c mesaj, bir komutun yürütülmesini istemek için gönderilir ve aşağıdaki biçimde gösterilen formata sahiptir (base64 kodlamasından önce).  REF _Ref142658017 h şekil 6
.

The şifrelenmiş_none şekildeki alan, sabit kodlanmış dizenin şifrelenmesinin sonucudur Hayır RC4 ile. Şifrelemenin anahtarı MD5 karma değeridir. düğüm_kimliği.

C&C sunucusuyla iletişim kurmak için kullanılan URL şu şekilde oluşturulmuştur: http://<IP_or_domain>:80. Bu şunu gösterebilir 37.120.222[.]168:80 Kurban makinelerin 80 numaralı bağlantı noktasından ulaştığını gözlemlediğimiz tek IP adresi olduğundan, Sponsor Erişimi kampanyası boyunca kullanılan tek C&C sunucusudur.

Operatör komutları

Operatör komutları şurada açıklanmıştır:  REF _Ref112861551 h tablo 5
ve kodda bulundukları sıraya göre görünürler. C&C sunucusuyla iletişim 80 numaralı bağlantı noktası üzerinden gerçekleşir.

Tablo 5. Operatör komutları ve açıklamaları

Komuta	Açıklama
p	Çalışan Sponsor süreci için süreç kimliğini gönderir.
e	Sonraki ek bağımsız değişkende belirtildiği gibi, Sponsor ana bilgisayarında aşağıdaki dizeyi kullanarak bir komutu yürütür: c:windowssystem32cmd.exe /c    > sonuç.txt 2>&1 Sonuçlar şurada saklanır: Result.txt geçerli çalışma dizininde. bir gönderir a Başarılı bir şekilde yürütülürse C&C sunucusuna şifrelenmiş çıktı içeren mesaj. Başarısız olursa bir mesaj gönderir f mesaj (hata belirtilmeden).
d	C&C sunucusundan bir dosya alır ve onu çalıştırır. Bu komutun birçok argümanı vardır: dosyanın yazılacağı hedef dosya adı, dosyanın MD5 karması, dosyanın yazılacağı dizin (veya varsayılan olarak geçerli çalışma dizini), dosyanın mı yoksa çalıştırılacağını belirten bir Boolean mı? değil ve yürütülebilir dosyanın içeriği base64 kodludur. Herhangi bir hata oluşmazsa, a mesaj C&C sunucusuna gönderilir. Dosyayı başarıyla yükleyin ve yürütün or Dosyayı yürütmeden başarıyla yükle (şifrelenmiş). Dosyanın yürütülmesi sırasında hatalar meydana gelirse, f mesaj gönderilir. Dosya içeriğinin MD5 karması sağlanan karmayla eşleşmiyorsa, e (CRC_ERROR) mesajı C&C sunucusuna gönderilir (yalnızca kullanılan şifreleme anahtarını içerir ve başka hiçbir bilgi içermez). Terimin kullanımı Foto Yükle Balistik Bobcat operatörleri ve kodlayıcılar bakış açısını sunucu tarafından aldıkları için burası potansiyel olarak kafa karıştırıcı olabilir, oysa çoğu kişi bunu, Sponsor arka kapısını kullanan sistem tarafından dosyanın çekilmesine (yani indirilmesine) dayalı bir indirme olarak görebilir.
u	kullanarak bir dosyayı indirmeye çalışır. URLİndirmeDosyasıW Windows API'sini seçin ve çalıştırın. Başarı bir mesaj gönderir a Kullanılan şifreleme anahtarını içeren mesaj ve başka bilgi yok. Başarısızlık bir mesaj gönderir f benzer yapıya sahip bir mesajdır.
s	Zaten diskte bulunan bir dosyayı çalıştırır, Kaldırma.bat Geçerli çalışma dizininde, büyük olasılıkla arka kapıyla ilgili dosyaları silmeye yönelik komutlar bulunur.
n	Bu komut, bir operatör tarafından açıkça sağlanabilir veya Sponsor tarafından başka bir komutun yokluğunda yürütülecek komut olarak çıkarılabilir. Sponsor bünyesinde şu şekilde anılır: NO_CMD, C&C sunucusuna tekrar bağlanmadan önce rastgele bir uyku yürütür.
b	Depolanan C&C'lerin listesini günceller yapılandırma.txt geçerli çalışma dizininde. Yeni C&C adresleri öncekilerin yerini alır; listeye eklenmezler. Bir gönderir a ile mesaj Yeni röleler başarıyla değiştirildi (şifreli) başarıyla güncellendiyse C&C sunucusuna.
i	Belirtilen önceden belirlenmiş check-in aralığını günceller yapılandırma.txt. Bir gönderir a ile mesaj Yeni aralık başarıyla değiştirildi Başarılı bir şekilde güncellendiyse C&C sunucusuna.

Sponsor Güncellemeleri

Balistik Bobcat kodlayıcıları Sponsor v1 ve v2 arasında kod revizyonları yaptı. İkincisindeki en önemli iki değişiklik şunlardır:

• Birkaç uzun fonksiyonun fonksiyonlara ve alt fonksiyonlara küçültüldüğü kodun optimizasyonu ve
• Hizmet yapılandırmasına aşağıdaki mesajı ekleyerek Sponsoru güncelleyici program olarak gizlemek:

Uygulama güncellemeleri hem uygulama kullanıcıları hem de uygulamalar için mükemmeldir; güncellemeler, geliştiricilerin her güncellemede daha iyi bir müşteri deneyimi sunmayı akılda tutarak her zaman uygulamayı iyileştirmeye çalıştıkları anlamına gelir.

Ağ altyapısı

Ballistic Bobcat, PowerLess kampanyasında kullanılan C&C altyapısını desteklemenin yanı sıra yeni bir C&C sunucusunu da tanıttı. Grup ayrıca Sponsor Erişimi kampanyası sırasında destek araçlarını depolamak ve sunmak için birden fazla IP'den yararlandı. Bu IP'lerden hiçbirinin şu anda kullanımda olmadığını doğruladık.

Sonuç

Balistik Bobcat, internete açık Microsoft Exchange sunucularındaki yamalanmamış güvenlik açıkları ile fırsat hedefleri arayarak tarama ve yararlanma modeli üzerinde çalışmaya devam ediyor. Grup, Sponsor arka kapısı da dahil olmak üzere çeşitli özel uygulamalarla desteklenen çeşitli açık kaynaklı araç setini kullanmaya devam ediyor. Savunmacılara, internete maruz kalan tüm cihazlara yama yapmaları ve kuruluşlarında ortaya çıkan yeni uygulamalara karşı tetikte olmaları tavsiye edilir.

WeLiveSecurity'de yayınlanan araştırmamızla ilgili herhangi bir sorunuz için lütfen şu adresten bizimle iletişime geçin: tehditintel@eset.com.
ESET Research, özel APT istihbarat raporları ve veri akışları sunar. Bu hizmetle ilgili tüm sorularınız için şu adresi ziyaret edin: ESET Tehdit İstihbaratı gidin.

IOCs

dosyalar

SHA-1	Dosya adı	Bulma	Açıklama
098B9A6CE722311553E1D8AC5849BA1DC5834C52	N / A	Win32/Agent.UXG	Balistik Bobcat arka kapısı, Sponsor (v1).
5AEE3C957056A8640041ABC108D0B8A3D7A02EBD	N / A	Win32/Agent.UXG	Balistik Bobcat arka kapısı, Sponsor (v2).
764EB6CA3752576C182FC19CFF3E86C38DD51475	N / A	Win32/Agent.UXG	Balistik Bobcat arka kapısı, Sponsor (v3).
2F3EDA9D788A35F4C467B63860E73C3B010529CC	N / A	Win32/Agent.UXG	Balistik Bobcat arka kapısı, Sponsor (v4).
E443DC53284537513C00818392E569C79328F56F	N / A	Win32/Agent.UXG	Balistik Bobcat arka kapısı, Sponsor (v5, diğer adıyla Alümina).
C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61	N / A	WinGo/Ajan.BT	RevSocks ters tünel.
39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6	N / A	çamça	ProcDump, uygulamaları izlemek ve kilitlenme dökümleri oluşturmak için kullanılan bir komut satırı yardımcı programıdır.
A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A	N / A	Genel.EYWYQYF	Mimikatz.
5D60C8507AC9B840A13FFDF19E3315A3E14DE66A	N / A	WinGo/Riskware.Gost.D	GO Basit Tünel (GOST).
50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617	N / A	WinGo/HackTool.Chisel.A	Keski ters tünel.
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252	N / A	N / A	Host2IP keşif aracı.
519CA93366F1B1D71052C6CE140F5C80CE885181	N / A	Win64/Packed.Enigma.BV	RevSocks tüneli, Enigma Protector yazılım korumasının deneme sürümüyle korunmaktadır.
4709827C7A95012AB970BF651ED5183083366C79	N / A	N / A	Plink (PuTTY Link), bir komut satırı bağlantı aracıdır.
99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8	N / A	Win32/PSWTool.WebBrowserPassView.I	Web tarayıcılarında saklanan şifreler için bir şifre kurtarma aracı.
E52AA118A59502790A4DD6625854BD93C0DEAF27	N / A	MSIL/HackTool.SQLDump.A	SQL veritabanlarıyla etkileşim kurmak ve onlardan veri çıkarmak için bir araç.

 

Dosya yolları

Aşağıda Sponsor arka kapısının mağdur makinelere yerleştirildiği yolların bir listesi bulunmaktadır.

%SYSTEMDRIVE%inetpubwwwrootaspnet_client

%USERPROFILE%AppDataLocalTempfile

%USERPROFILE%AppDataLocalTemp2low

%USERPROFILE%Masaüstü

%USERPROFILE%İndirmea

% WINDIR%

%WINDIR%INFMSExchange Teslimatı DSN

%WINDIR%Görevler

%WINDIR%Temp%WINDIR%Tempcrashpad1Files

ağ

IP	Provider	İlk görüş	Son görülme	- Detaylar
162.55.137[.]20	Hetzner Çevrimiçi GMBH	2021-06-14	2021-06-15	Güçsüz Kontrol ve Kontrol.
37.120.222[.]168	M247 LTD	2021-11-28	2021-12-12	Sponsor C&C.
198.144.189[.]74	Kolokroslama	2021-11-29	2021-11-29	Destek araçları indirme sitesi.
5.255.97[.]172	Altyapı Grubu BV	2021-09-05	2021-10-28	Destek araçları indirme sitesi.

Bu tablo kullanılarak yapılmıştır sürümü 13 MITRE ATT&CK çerçevesinin.

taktik	ID	Name	Açıklama
Keşif	T1595	Aktif Tarama: Güvenlik Açığı Taraması	Balistik Bobcat, yararlanılacak Microsoft Exchange Sunucularının güvenlik açığı bulunan sürümlerini tarar.
Kaynak geliştirme	T1587.001	Yetenek Geliştirme: Kötü Amaçlı Yazılım	Balistik Bobcat, Sponsor arka kapısını tasarladı ve kodladı.
	T1588.002	Yetenekleri Elde Edin: Araç	Ballistic Bobcat, Sponsor Erişimi kampanyasının bir parçası olarak çeşitli açık kaynaklı araçlar kullanıyor.
İlk Erişim	T1190	Halka Açık Uygulamadan Yararlanma	Balistik Bobcat internete maruz kalan hedefleri hedefliyor  Microsoft Exchange Sunucuları.
infaz	T1059.003	Komut ve Komut Dosyası Yorumlayıcısı: Windows Komut Kabuğu	Sponsorun arka kapısı, kurbanın sisteminde komutları yürütmek için Windows komut kabuğunu kullanır.
	T1569.002	Sistem Hizmetleri: Hizmet Yürütme	Sponsor arka kapısı kendisini bir hizmet olarak belirler ve hizmet yürütüldükten sonra birincil işlevlerini başlatır.
Sebat	T1543.003	Sistem İşlemini Oluşturun veya Değiştirin: Windows Hizmeti	Sponsor, birincil işlevlerini bir döngü içinde yürüten otomatik başlatmalı bir hizmet oluşturarak kalıcılığı korur.
Ayrıcalık Artışı	T1078.003	Geçerli Hesaplar: Yerel Hesaplar	Balistik Bobcat operatörleri, Sponsor arka kapısını yerleştirmeden önce bir sistemden ilk kez yararlandıktan sonra geçerli kullanıcıların kimlik bilgilerini çalmaya çalışır.
Savunmadan Kaçınma	T1140	Dosyaları veya Bilgileri Gizleme/Kod Çözme	Sponsor, bilgileri şifrelenmiş ve karartılmış diskte saklar ve çalışma zamanında bu bilgilerin gizliliğini kaldırır.
	T1027	Gizlenmiş Dosyalar veya Bilgiler	Sponsor arka kapısının diskte ihtiyaç duyduğu yapılandırma dosyaları şifrelenir ve gizlenir.
	T1078.003	Geçerli Hesaplar: Yerel Hesaplar	Sponsor, muhtemelen operatörlerin diskte bulduğu kimlik bilgilerini kullanarak yönetici ayrıcalıklarıyla yürütülür; Balistik Bobcat'in zararsız adlandırma kurallarıyla birlikte bu, Sponsor'un arka plana uyum sağlamasına olanak tanır.
Kimlik Bilgileri Erişimi	T1555.003	Parola Depolarından Kimlik Bilgileri: Web Tarayıcılarından Kimlik Bilgileri	Balistik Bobcat operatörleri, web tarayıcılarının içindeki şifre depolarından kimlik bilgilerini çalmak için açık kaynaklı araçlar kullanıyor.
Keşif	T1018	Uzaktan Sistem Keşfi	Ballistic Bobcat, ulaşılabilir ağlardaki diğer sistemleri keşfetmek ve bunların ana bilgisayar adları ile IP adreslerini ilişkilendirmek için daha önce Agrius tarafından kullanılan Host2IP aracını kullanıyor.
Komuta ve kontrol	T1001	Veri Gizlemesi	Sponsor arka kapısı, verileri C&C sunucusuna göndermeden önce gizler.

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. Otomotiv / EV'ler, karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• ChartPrime. Ticaret Oyununuzu ChartPrime ile yükseltin. Buradan Erişin.
• Blok Ofsetleri. Çevre Dengeleme Sahipliğini Modernleştirme. Buradan Erişin.
• Kaynak: https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/