Спонсор із вусами, заповненими партіями: сканування Балістичного Бобкета та удар по бекдору

Дослідники ESET виявили кампанію Ballistic Bobcat, націлену на різні організації в Бразилії, Ізраїлі та Об’єднаних Арабських Еміратах, використовуючи новий бекдор, який ми назвали Sponsor.

Ми виявили Sponsor після аналізу цікавої вибірки, яку ми виявили в системі жертви в Ізраїлі в травні 2022 року, і оцінили набір жертв за країнами. Після перевірки нам стало очевидно, що зразок був новим бекдором, застосованим групою Ballistic Bobcat APT.

Ballistic Bobcat, раніше відстежуваний ESET Research як APT35/APT42 (він же Charming Kitten, TA453 або PHOSPHORUS), є підозрюваним Передова стійка група загроз, пов’язана з Іраном який націлений на освітні, урядові та медичні організації, а також на правозахисників і журналістів. Найбільш активно вона діє в Ізраїлі, на Близькому Сході та в США. Зокрема, під час пандемії він був націлений на організації, пов’язані з COVID-19, зокрема на Всесвітню організацію охорони здоров’я та Gilead Pharmaceuticals, а також на медичних дослідників.

Збіги між кампаніями Ballistic Bobcat Версії Sponsor і Backdoor показують досить чітку схему розробки та розгортання інструментів із вузьконаціленими кампаніями, кожна з яких має обмежену тривалість. Згодом ми виявили ще чотири версії бекдору Sponsor. Загалом ми бачили, як Sponsor застосовувався щонайменше до 34 постраждалих у Бразилії, Ізраїлі та Об’єднаних Арабських Еміратах, як зазначено в  REF _Ref143075975 h Рисунок 1
.

Ключові моменти цього блогу:

• Ми виявили новий бекдор, розгорнутий Ballistic Bobcat, який згодом назвали Sponsor.
• Компанія Ballistic Bobcat розгорнула новий бекдор у вересні 2021 року, коли завершувала кампанію, задокументовану в CISA Alert AA21-321A, і кампанію PowerLess.
• Бекдор Sponsor використовує конфігураційні файли, що зберігаються на диску. Ці файли непомітно розгортаються за допомогою пакетних файлів і навмисно розроблені, щоб виглядати нешкідливими, таким чином намагаючись уникнути виявлення механізмами сканування.
• Спонсор був спрямований щонайменше на 34 жертви в Бразилії, Ізраїлі та Об’єднаних Арабських Еміратах; ми назвали цю діяльність кампанією «Спонсорський доступ».

Початковий доступ

Ballistic Bobcat отримав початковий доступ, використовуючи відомі вразливості на відкритих в Інтернеті серверах Microsoft Exchange, спочатку провівши ретельне сканування системи або мережі для виявлення потенційних слабких місць або вразливостей, а потім націлившись і використавши ці виявлені слабкі місця. Відомо, що група займається такою поведінкою протягом деякого часу. Однак багатьох із 34 жертв, ідентифікованих телеметрією ESET, найкраще можна описати як жертви можливостей, а не попередньо відібраних і досліджених жертв, оскільки ми підозрюємо, що Ballistic Bobcat брав участь у описаній вище поведінці сканування та використання, оскільки це була не єдина загроза актор з доступом до цих систем. Ми назвали цю діяльність Ballistic Bobcat із використанням спонсорського бекдору кампанією «Спонсорський доступ».

Бекдор Sponsor використовує конфігураційні файли на диску, видалені пакетними файлами, і обидва є нешкідливими, щоб обійти механізми сканування. Цей модульний підхід компанія Ballistic Bobcat використовувала досить часто та з помірним успіхом протягом останніх двох з половиною років. У скомпрометованих системах Ballistic Bobcat також продовжує використовувати різноманітні інструменти з відкритим кодом, які ми описуємо разом із бекдором Sponsor у цій публікації в блозі.

Віктимологія

Значна більшість із 34 жертв перебуває в Ізраїлі, і лише двоє знаходяться в інших країнах:

• Бразилія, в медичному кооперативі та операторі медичного страхування, і
• Об’єднані Арабські Емірати, в невідомій організації.

 REF _Ref112861418 h таблиця 1
описує вертикалі та організаційні деталі для жертв в Ізраїлі.

таблиця  Таблиця SEQ * АРАБСЬКА 1. Вертикалі та організаційні деталі для жертв в Ізраїлі

Вертикальний	ПОДРОБИЦІ
автомобільний	·       Автомобільна компанія, що спеціалізується на індивідуальних модифікаціях. ·       Компанія з ремонту та обслуговування автомобілів.
зв'язку	·       Ізраїльське ЗМІ.
Машинобудування	·       Будівельна фірма. ·       Фірма екологічної інженерії. ·       Архітектурно-проектна фірма.
Фінансові послуги	·       Фінансова компанія, яка спеціалізується на інвестиційному консультуванні. ·       Компанія, яка управляє роялті.
Здоров'я	·       Надавач медичної допомоги.
Страхування	·       Страхова компанія, яка керує страховим ринком. ·       Комерційна страхова компанія.
закон	·       Фірма, що спеціалізується на медичному праві.
Manufacturing	·       Кілька компаній-виробників електроніки. ·       Компанія, яка виробляє комерційну продукцію з металу. ·       Багатонаціональна компанія з виробництва технологій.
Роздрібна торгівля	·       Роздрібний продавець продуктів харчування. ·       Багатонаціональний роздрібний продавець діамантів. ·       Роздрібний продавець засобів по догляду за шкірою. ·       Роздрібний продавець та монтажник вікон. ·       Глобальний постачальник електронних компонентів. ·       Постачальник контролю фізичного доступу.
Технологія	·       Компанія, що займається технологіями ІТ-послуг. ·       Постачальник ІТ-рішень.
Зв'язок	·       Телекомунікаційна компанія.
Невідомі	·       Кілька невідомих організацій.

приписування

У серпні 2021 року ізраїльський потерпілий, який керує страховим ринком, був атакований Ballistic Bobcat із інструментами CISA повідомила в листопаді 2021 року. Індикатори компромісу, які ми спостерігали:

• MicrosoftOutlookUpdateSchedule,
• MicrosoftOutlookUpdateSchedule.xml,
• GoogleChangeManagement та
• GoogleChangeManagement.xml.

Балістичні інструменти Bobcat обмінювалися даними з тим самим сервером командування та управління (C&C), що й у звіті CISA: 162.55.137[.]20.

Потім, у вересні 2021 року, та сама жертва отримала наступне покоління інструментів Ballistic Bobcat: the PowerLess бекдор і допоміжний набір інструментів. Індикаторами компромісу, які ми спостерігали, були:

• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/dll.dll,
• windowsprocesses.exe та
• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/windowsprocesses.exe.

На листопад 18^th2021 року група розгорнула інший інструмент (Плінк), про які йдеться у звіті CISA, як MicrosoftOutLookUpdater.exe. Через десять днів, 28 листопада^th, 2021, Ballistic Bobcat розгорнув Мерлін агент (агентна частина an C&C сервер і агент з відкритим вихідним кодом, написані на Go). На диску цей агент Мерліна був названий googleUpdate.exe, використовуючи ту саму угоду про найменування, як описано у звіті CISA, щоб приховати на видноті.

Агент Merlin виконав зворотну оболонку Meterpreter, яка викликала новий сервер C&C, 37.120.222[.]168:80. 12 грудня^th, 2021, зворотна оболонка видалила пакетний файл, install.bat, і за кілька хвилин після виконання пакетного файлу оператори Ballistic Bobcat запустили свій найновіший бекдор, Sponsor. Це виявиться третьою версією бекдору.

Технічний аналіз

Початковий доступ

Нам вдалося визначити ймовірний спосіб початкового доступу для 23 із 34 жертв, які ми спостерігали за допомогою телеметрії ESET. Подібно до того, що повідомлялося в Без потужності та СНД повідомляє, Ballistic Bobcat, ймовірно, використав відому вразливість, CVE-2021-26855, на серверах Microsoft Exchange, щоб закріпитися на цих системах.

Для 16 із 34 жертв виявилося, що Ballistic Bobcat був не єдиною загрозою, яка мала доступ до їхніх систем. Це може означати, поряд із великою різноманітністю жертв і очевидною відсутністю очевидної розвідувальної цінності кількох жертв, що Ballistic Bobcat брав участь у поведінці сканування та використання, на відміну від цілеспрямованої кампанії проти попередньо відібраних жертв.

Набір інструментів

Інструменти з відкритим кодом

Ballistic Bobcat використовував ряд інструментів з відкритим кодом під час кампанії Sponsoring Access. Ці інструменти та їхні функції перераховані в  REF _Ref112861458 h таблиця 2
.

таблиця  Таблиця SEQ * АРАБСЬКА 2. Інструменти з відкритим кодом, які використовує Ballistic Bobcat

ім'я файлу	Опис
host2ip.exe	Карти a ім'я хоста на IP-адресу в локальній мережі.
CSRSS.EXE	RevSocks, програма зворотного тунелю.
mi.exe	Mimikatz з оригінальною назвою файлу midongle.exe і упакований з Пакувальник Armadillo PE.
gost.exe	GO Simple Tunnel (GOST), програма для тунелювання, написана на Go.
chisel.exe	Долото, тунель TCP/UDP через HTTP з використанням рівнів SSH.
csrss_protected.exe	Тунель RevSocks, захищений пробною версією Захист програмного забезпечення Enigma Protector.
plink.exe	Плінк (PuTTY Link), інструмент підключення командного рядка.
WebBrowserPassView.exe	A засіб відновлення пароля для паролів, що зберігаються у веб-браузерах.
sqlextractor.exe	A інструмент для взаємодії з базами даних SQL та отримання даних із них.
procdump64.exe	ProcDump, то  Утиліта командного рядка Sysinternals для моніторингу програм і створення аварійних дампів.

Пакетні файли

Ballistic Bobcat розгорнув пакетні файли в системах жертв за мить до того, як розгорнув бекдор Sponsor. Нам відомі такі шляхи до файлів:

• C:inetpubwwwrootaspnet_clientInstall.bat
• %USERPROFILE%DesktopInstall.bat
• %WINDOWS%TasksInstall.bat

На жаль, нам не вдалося отримати жодного з цих пакетних файлів. Однак ми вважаємо, що вони записують нешкідливі конфігураційні файли на диск, які потрібні бекдору Sponsor для повноцінної роботи. Ці назви файлів конфігурації були взяті з бекдорів Спонсора, але ніколи не збиралися:

• config.txt
• node.txt
• error.txt
• Видалити.bat

Ми вважаємо, що пакетні файли та файли конфігурації є частиною модульного процесу розробки, якому Ballistic Bobcat віддає перевагу протягом останніх кількох років.

Спонсорський бекдор

Спонсорські бекдори написані мовою C++ із часовими мітками компіляції та шляхами до бази даних програм (PDB), як показано в  REF _Ref112861527 h таблиця 3
. Примітка щодо номерів версій: колонка версія представляє версію, яку ми відстежуємо внутрішньо на основі лінійної прогресії бекдорів Спонсорів, де вносяться зміни від однієї версії до іншої. The Внутрішня версія колонка містить номери версій, які спостерігаються в кожному бекдорі Спонсора, і включені для зручності порівняння під час вивчення цих та інших потенційних зразків Спонсора.

таблиця 3. Спонсор компіляції часових міток і PDB

версія	Внутрішня версія	Мітка часу компіляції	PDB
1	1.0.0	2021-08-29 09:12:51	D:TempBD_Plus_SrvcReleaseBD_Plus_Srvc.pdb
2	1.0.0	2021-10-09 12:39:15	D:TempSponsorReleaseSponsor.pdb
3	1.4.0	2021-11-24 11:51:55	D:TempSponsorReleaseSponsor.pdb
4	2.1.1	2022-02-19 13:12:07	D:TempSponsorReleaseSponsor.pdb
5	1.2.3.0	2022-06-19 14:14:13	D:TempAluminaReleaseAlumina.pdb

Для початкового виконання Sponsor потрібен аргумент часу виконання встановлювати, без якого Sponsor витончено виходить, імовірно, це проста техніка захисту від емуляції/пісочниці. Якщо передати цей аргумент, Спонсор створює службу під назвою SystemNetwork (В v1) і Оновити (у всіх інших версіях). Він встановлює сервіс Тип запуску до автоматичний, налаштовує його на запуск власного процесу Sponsor і надає повний доступ. Після цього запускається служба.

Sponsor, який зараз працює як служба, намагається відкрити вищезазначені конфігураційні файли, попередньо розміщені на диску. Воно шукає config.txt та node.txt, обидва в поточному робочому каталозі. Якщо перший відсутній, Спонсор встановлює послугу на Зупинено і граціозно виходить.

Конфігурація бекдора

Конфігурація спонсора, збережена в config.txt, містить два поля:

• Інтервал оновлення в секундах для періодичного зв’язку з командним сервером для отримання команд.
• Список серверів C&C, які називаються реле у двійкових файлах Спонсора.

Сервери C&C зберігаються в зашифрованому вигляді (RC4), а ключ дешифрування присутній у першому рядку config.txt. Кожне з полів, у тому числі ключ розшифровки, має формат, наведений у  REF _Ref142647636 h Рисунок 3
.

Ці підполя:

• config_start: вказує на довжину config_name, якщо присутній, або нуль, якщо ні. Використовується бекдором, щоб знати, де config_data починається
• config_len: довжина config_data.
• config_name: необов’язковий, містить назву поля конфігурації.
• config_data: сама конфігурація, зашифрована (у випадку серверів C&C) чи ні (усі інші поля).

 REF _Ref142648473 h Рисунок 4
показує приклад із позначеним кольором вмістом можливого config.txt файл. Зауважте, що це не фактичний файл, який ми спостерігали, а сфабрикований приклад.

Останні два поля в config.txt шифруються за допомогою RC4, використовуючи рядкове представлення хешу SHA-256 указаного ключа дешифрування як ключа для шифрування даних. Ми бачимо, що зашифровані байти зберігаються в шістнадцятковому кодуванні як текст ASCII.

Організація збору інформації

Спонсор збирає інформацію про хост, на якому він працює, повідомляє всю зібрану інформацію на сервер C&C і отримує ідентифікатор вузла, який записується на node.txt.  REF _Ref142653641 h таблиця 4
REF _Ref112861575 h
 перелічує ключі та значення в реєстрі Windows, які Спонсор використовує для отримання інформації, і надає приклад зібраних даних.

Таблиця 4. Інформація, зібрана Спонсором

Ключ реєстру	значення	Приклад
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters	Hostname	Д-835МК12
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTimeZoneInformation	TimeZoneKeyName	Ізраїльський стандартний час
HKEY_USERS.DEFAULTControl PanelInternational	LocaleName	він-IL
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemBIOS	Продукт BaseBoard	10NX0010IL
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessor	ProcessorNameString	Процесор Intel(R) Core(TM) i7-8565U @ 1.80 ГГц
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion	Назва продукту	Windows 10 EnterpriseN
	CurrentVersion	6.3
	CurrentBuildNumber	19044
	Тип встановлення	Клієнт

Спонсор також збирає домен Windows хоста, використовуючи наступне WMIC команда:

wmic computersystem отримати домен

Нарешті, Спонсор використовує Windows API для отримання поточного імені користувача (GetUserNameW), визначте, чи працює поточний процес Sponsor як 32- чи 64-бітна програма (GetCurrentProcess, То IsWow64Process(CurrentProcess)) і визначає, чи працює система від батареї чи підключена до джерела змінного чи постійного струму (GetSystemPowerStatus).

Одна дивина щодо перевірки 32- або 64-бітної програми полягає в тому, що всі спостережувані зразки Sponsor були 32-бітними. Це може означати, що деяким інструментам наступного етапу потрібна ця інформація.

Зібрана інформація надсилається в повідомленні з кодуванням base64, яке перед кодуванням починається з r і має формат, показаний у  REF _Ref142655224 h Рисунок 5
.

Інформація зашифрована за допомогою RC4, а ключ шифрування – це випадкове число, яке генерується на місці. Ключ хешується за допомогою алгоритму MD5, а не SHA-256, як згадувалося раніше. Це стосується всіх повідомлень, у яких Спонсор має надсилати зашифровані дані.

Сервер C&C відповідає з номером, який використовується для ідентифікації комп’ютера-жертви в подальших повідомленнях, який записується на node.txt. Зверніть увагу, що C&C сервер вибирається випадковим чином зі списку, коли r повідомлення надсилається, і той самий сервер використовується для всіх наступних комунікацій.

Цикл обробки команд

Спонсор запитує команди в циклі, сплячи відповідно до інтервалу, визначеного в config.txt. Кроки такі:

1. Відправити a chk=Тест повідомлення повторно, доки сервер C&C не відповість Ok.
2. Відправити a c (IS_CMD_AVAIL) повідомлення на сервер C&C і отримати команду оператора.
3. Обробіть команду.
   • Якщо є вихідні дані для надсилання на сервер C&C, надішліть a (ACK) повідомлення, включаючи вихідні дані (зашифровані), або
   • Якщо виконання не вдалося, надішліть f (FAILED) повідомлення. Повідомлення про помилку не надсилається.
4. Sleep.

Команда c повідомлення надсилається для запиту команди на виконання та має формат (до кодування base64), показаний у  REF _Ref142658017 h Рисунок 6
.

Команда encrypted_none поле на малюнку є результатом шифрування жорстко закодованого рядка ніхто з RC4. Ключем для шифрування є хеш MD5 node_id.

URL-адреса, яка використовується для зв’язку з сервером C&C, побудована так: http://<IP_or_domain>:80. Це може свідчити про те 37.120.222[.]168:80 це єдиний C&C сервер, який використовувався протягом кампанії Sponsoring Access, оскільки це була єдина IP-адреса, яку ми спостерігали, до якої комп’ютери-жертви зверталися через порт 80.

Команди оператора

Команди оператора розмежовані в  REF _Ref112861551 h таблиця 5
і відображаються в тому порядку, в якому вони знаходяться в коді. Зв'язок із C&C сервером відбувається через порт 80.

Таблиця 5. Команди оператора та опис

Command	Опис
p	Надсилає ідентифікатор процесу для запущеного процесу спонсора.
e	Виконує команду, як зазначено в наступному додатковому аргументі, на хості Спонсора, використовуючи такий рядок: c:windowssystem32cmd.exe /c    > result.txt 2>&1 Результати зберігаються в result.txt у поточному робочому каталозі. Надсилає a повідомлення із зашифрованим виведенням на сервер C&C у разі успішного виконання. Якщо не вдалося, надсилає f повідомлення (без вказівки помилки).
d	Отримує файл від C&C сервера та виконує його. Ця команда має багато аргументів: цільове ім’я файлу для запису файлу, хеш MD5 файлу, каталог для запису файлу (або поточний робочий каталог за замовчуванням), логічне значення, яке вказує, чи запускати файл або ні, і вміст виконуваного файлу, закодованого base64. Якщо помилок немає, ан a повідомлення надсилається на сервер C&C за допомогою Успішно завантажте та запустіть файл or Файл успішно завантажено без виконання (зашифровано). Якщо під час виконання файлу виникають помилки, an f повідомлення надіслано. Якщо хеш MD5 вмісту файлу не відповідає наданому хешу, ан e (CRC_ERROR) повідомлення надсилається на сервер C&C (включаючи лише використаний ключ шифрування, без іншої інформації). Використання терміна Завантажувати це потенційно заплутано, оскільки оператори та кодери Ballistic Bobcat приймають точку зору з боку сервера, тоді як багато хто може розглядати це як завантаження, засноване на витягуванні файлу (тобто його завантаженні) системою за допомогою бекдора Спонсора.
u	Спроби завантажити файл за допомогою URLDownloadFileW Windows API і запустіть його. Успіх посилає a повідомлення з використаним ключем шифрування та жодної іншої інформації. Помилка надсилає an f повідомлення з подібною структурою.
s	Виконує файл, який уже є на диску, Видалити.bat у поточному робочому каталозі, який, швидше за все, містить команди для видалення файлів, пов’язаних із бекдором.
n	Ця команда може бути явно надана оператором або може бути визначена Спонсором як команда для виконання за відсутності будь-якої іншої команди. В межах Спонсор іменується як NO_CMD, він виконує рандомізований сплячий режим перед тим, як знову перевірити на сервері C&C.
b	Оновлює список C&C, збережених у config.txt у поточному робочому каталозі. Нові адреси C&C замінюють попередні; вони не додаються до списку. Він надсилає a повідомлення з Нові реле успішно замінені (зашифровано) на сервер C&C у разі успішного оновлення.
i	Оновлює попередньо визначений інтервал реєстрації, указаний у config.txt. Він надсилає a повідомлення з Новий інтервал успішно замінено на сервер C&C у разі успішного оновлення.

Оновлення спонсора

Кодери Ballistic Bobcat змінили код між Sponsor v1 і v2. Дві найважливіші зміни в останньому:

• Оптимізація коду, де кілька більш довгих функцій були мінімізовані до функцій і підфункцій, а також
• Маскування Sponsor як програми оновлення шляхом додавання такого повідомлення до конфігурації служби:

Оновлення програми чудові як для користувачів програми, так і для програм – оновлення означають, що розробники постійно працюють над удосконаленням програми, пам’ятаючи про кращу взаємодію з клієнтами з кожним оновленням.

Мережева інфраструктура

На додаток до використання інфраструктури C&C, яка використовується в кампанії PowerLess, Ballistic Bobcat також представила новий сервер C&C. Група також використовувала кілька IP-адрес для зберігання та доставки інструментів підтримки під час кампанії Sponsoring Access. Ми підтвердили, що жодна з цих IP-адрес наразі не працює.

Висновок

Ballistic Bobcat продовжує працювати за моделлю сканування та використання, шукаючи потенційні цілі з невиправленими вразливими місцями на серверах Microsoft Exchange, відкритих в Інтернеті. Група продовжує використовувати різноманітний набір інструментів з відкритим вихідним кодом, доповнений декількома спеціальними програмами, включаючи бекдор Sponsor. Захисникам радимо виправляти будь-які пристрої, які піддаються доступу до Інтернету, і залишатися пильними щодо нових програм, які з’являються в їхніх організаціях.

З будь-якими запитами щодо нашого дослідження, опублікованого на WeLiveSecurity, зв’яжіться з нами за адресою prijetintel@eset.com.
ESET Research пропонує приватні звіти APT та канали даних. Якщо у вас є запитання щодо цієї послуги, відвідайте ESET Threat Intelligence стр.

IoCs

Файли

SHA-1	ім'я файлу	Виявлення	Опис
098B9A6CE722311553E1D8AC5849BA1DC5834C52	N / A	Win32/Agent.UXG	Балістичний бекдор Bobcat, Спонсор (v1).
5AEE3C957056A8640041ABC108D0B8A3D7A02EBD	N / A	Win32/Agent.UXG	Балістичний бекдор Bobcat, Спонсор (v2).
764EB6CA3752576C182FC19CFF3E86C38DD51475	N / A	Win32/Agent.UXG	Балістичний бекдор Bobcat, Спонсор (v3).
2F3EDA9D788A35F4C467B63860E73C3B010529CC	N / A	Win32/Agent.UXG	Балістичний бекдор Bobcat, Спонсор (v4).
E443DC53284537513C00818392E569C79328F56F	N / A	Win32/Agent.UXG	Балістичний бекдор Bobcat, Спонсор (v5, він же Alumina).
C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61	N / A	WinGo/Agent.BT	Зворотний тунель RevSocks.
39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6	N / A	очистити	ProcDump, утиліта командного рядка для моніторингу програм і створення аварійних дампів.
A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A	N / A	Generik.EYWYQYF	Мімікац.
5D60C8507AC9B840A13FFDF19E3315A3E14DE66A	N / A	WinGo/Riskware.Гост.Д	ГО Простий тунель (ГОСТ).
50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617	N / A	WinGo/HackTool.Chisel.A	Долото зворотний тунель.
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252	N / A	N / A	Інструмент виявлення Host2IP.
519CA93366F1B1D71052C6CE140F5C80CE885181	N / A	Win64/Packed.Enigma.BV	Тунель RevSocks, захищений пробною версією програмного захисту Enigma Protector.
4709827C7A95012AB970BF651ED5183083366C79	N / A	N / A	Plink (PuTTY Link), інструмент підключення командного рядка.
99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8	N / A	Win32/PSWTool.WebBrowserPassView.I	Інструмент для відновлення паролів, які зберігаються у веб-браузерах.
E52AA118A59502790A4DD6625854BD93C0DEAF27	N / A	MSIL/HackTool.SQLDump.A	Інструмент для взаємодії з базами даних SQL і отримання даних із них.

 

Шляхи до файлів

Нижче наведено список шляхів, де бекдор Sponsor був розгорнутий на заражених машинах.

%SYSTEMDRIVE%inetpubwwwrootaspnet_client

%USERPROFILE%AppDataLocalTempfile

%USERPROFILE%AppDataLocalTemp2low

%USERPROFILE%Настільний комп’ютер

%USERPROFILE%Завантажитиa

%WINDIR%

%WINDIR%INFMSExchange DSN доставки

%WINDIR%Завдання

Файли %WINDIR%Temp%WINDIR%Tempcrashpad1

мережу

IP	Provider	Вперше побачили	Останній раз його бачили	ПОДРОБИЦІ
162.55.137[.]20	Hetzner Online GMBH	2021-06-14	2021-06-15	Безпотужний C&C.
37.120.222[.]168	М247 ТОВ	2021-11-28	2021-12-12	Спонсор C&C.
198.144.189[.]74	Колокроссинг	2021-11-29	2021-11-29	Сайт для завантаження інструментів підтримки.
5.255.97[.]172	The Infrastructure Group BV	2021-09-05	2021-10-28	Сайт для завантаження інструментів підтримки.

Ця таблиця була побудована за допомогою версія 13 рамки MITER ATT & CK.

Тактика	ID	ІМ'Я	Опис
Розвідка	T1595	Активне сканування: сканування вразливостей	Ballistic Bobcat шукає вразливі версії серверів Microsoft Exchange Server для використання.
Розвиток ресурсів	T1587.001	Розвивайте можливості: шкідливі програми	Ballistic Bobcat розробив і закодував бекдор Sponsor.
	T1588.002	Отримати можливості: Інструмент	Ballistic Bobcat використовує різні інструменти з відкритим вихідним кодом у рамках кампанії Sponsoring Access.
Початковий доступ	T1190	Використовуйте програму для відкритого доступу	Балістичні мішені Bobcat викриті в Інтернеті  Сервери Microsoft Exchange.
Виконання	T1059.003	Інтерпретатор команд та сценаріїв: командна оболонка Windows	Бекдор Sponsor використовує командну оболонку Windows для виконання команд у системі жертви.
	T1569.002	Системні послуги: Виконання послуг	Бекдор Sponsor встановлює себе як службу та починає виконувати свої основні функції після виконання служби.
Наполегливість	T1543.003	Створення або зміна системного процесу: служба Windows	Sponsor підтримує постійність, створюючи службу з автоматичним запуском, яка виконує свої основні функції в циклі.
Ескалація привілеїв	T1078.003	Дійсні облікові записи: локальні облікові записи	Оператори Ballistic Bobcat намагаються викрасти облікові дані дійсних користувачів після початкового використання системи перед розгортанням бекдору Sponsor.
Ухилення від захисту	T1140	Деобфускація/декодування файлів або інформації	Sponsor зберігає на диску зашифровану та обфусцовану інформацію та деобфусцує її під час виконання.
	T1027	Заплутані файли або інформація	Конфігураційні файли, які вимагає бекдор Спонсора на диску, зашифровані та обфусковані.
	T1078.003	Дійсні облікові записи: локальні облікові записи	Sponsor виконується з правами адміністратора, ймовірно, з використанням облікових даних, які оператори знайшли на диску; разом із нешкідливими угодами про найменування Ballistic Bobcat це дозволяє Спонсору зливатися з фоном.
Доступ до облікових даних	T1555.003	Облікові дані зі сховищ паролів: облікові дані з веб-браузерів	Оператори Ballistic Bobcat використовують інструменти з відкритим кодом, щоб викрасти облікові дані зі сховищ паролів у веб-браузерах.
Відкриття	T1018	Віддалене виявлення системи	Ballistic Bobcat використовує інструмент Host2IP, який раніше використовувався Agrius, для виявлення інших систем у доступних мережах і співвіднесення їхніх імен хостів та IP-адрес.
Управління та контроль	T1001	Захоплення даних	Бекдор Спонсора маскує дані перед надсиланням на сервер C&C.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. Автомобільні / електромобілі, вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• ChartPrime. Розвивайте свою торгову гру за допомогою ChartPrime. Доступ тут.
• BlockOffsets. Модернізація екологічної компенсаційної власності. Доступ тут.
• джерело: https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/