ESET-Forscher entdeckten eine Ballistic Bobcat-Kampagne, die auf verschiedene Einrichtungen in Brasilien, Israel und den Vereinigten Arabischen Emiraten abzielt und eine neuartige Backdoor verwendet, die wir Sponsor nennen.

Wir entdeckten Sponsor, nachdem wir ein interessantes Sample analysiert hatten, das wir im Mai 2022 auf dem System eines Opfers in Israel entdeckten, und die Opfergruppe nach Ländern untersuchten. Bei der Untersuchung wurde uns klar, dass es sich bei dem Sample um eine neuartige Backdoor handelte, die von der APT-Gruppe Ballistic Bobcat eingesetzt wurde.

Ballistic Bobcat, früher von ESET Research als APT35/APT42 (auch bekannt als Charming Kitten, TA453 oder PHOSPHORUS) verfolgt, ist eine mutmaßlich mit dem Iran verbündete Gruppe für hochentwickelte, anhaltende Bedrohungen (APT), die es auf Bildungs-, Regierungs- und Gesundheitsorganisationen sowie Menschenrechtsaktivisten und Journalisten abgesehen hat. Sie ist vor allem in Israel, im Nahen Osten und in den Vereinigten Staaten aktiv. Während der Pandemie hatte sie es vor allem auf Organisationen abgesehen, die mit COVID-19 in Verbindung stehen, darunter die Weltgesundheitsorganisation und Gilead Pharmaceuticals, sowie auf medizinisches Forschungspersonal.

Die Überschneidungen zwischen den Ballistic Bobcat-Kampagnen und den Sponsor-Backdoor-Versionen zeigen ein ziemlich klares Muster der Tool-Entwicklung und des Einsatzes mit eng begrenzten Kampagnen, die jeweils nur von kurzer Dauer sind. In der Folge entdeckten wir vier weitere Versionen der Sponsor-Backdoor. Insgesamt sahen wir, dass Sponsor bei mindestens 34 Opfern in Brasilien, Israel und den Vereinigten Arabischen Emiraten eingesetzt wurde, wie in Abbildung 1dargestellt .

Figure 1. Timeline of the Sponsoring Access campaign
Abbildung 1. Zeitleiste der Sponsor Access-Kampagne

Die wichtigsten Punkte dieses Blogposts:

  • Wir entdeckten eine neue Backdoor, die von Ballistic Bobcat eingesetzt wurde und die wir im Folgenden Sponsor nannten.
  • Ballistic Bobcat stellte die neue Backdoor im September 2021 bereit, während es die in der CISA-Warnung AA21-321A und der PowerLess-Kampagne dokumentierte Kampagne abschloss.
  • Die Sponsor-Backdoor verwendet Konfigurationsdateien, die auf der Festplatte gespeichert sind. Diese Dateien werden diskret über Batch-Dateien bereitgestellt und absichtlich so gestaltet, dass sie harmlos erscheinen, um so die Erkennung durch Scan-Engines zu umgehen.
  • Sponsor wurde bei mindestens 34 Opfern in Brasilien, Israel und den Vereinigten Arabischen Emiraten eingesetzt; wir haben diese Aktivität als Sponsoring Access-Kampagne bezeichnet.

Erster Zugang

Ballistic Bobcat verschaffte sich den ersten Zugang, indem es bekannte Schwachstellen in über das Internet zugänglichen Microsoft Exchange-Servern ausnutzte, indem es zunächst sorgfältige Scans des Systems oder Netzwerks durchführte, um potenzielle Schwachstellen oder Sicherheitslücken zu ermitteln und anschließend diese Schwachstellen gezielt ansteuerte und ausnutzte. Die Gruppe ist seit einiger Zeit dafür bekannt, dass sie auf diese Weise vorgeht. Viele der 34 Opfer, die in den ESET-Telemetriedaten identifiziert wurden, sind jedoch eher als Gelegenheitsopfer zu bezeichnen als als vorausgewählte und ausgespähte Opfer, da wir vermuten, dass Ballistic Bobcat das oben beschriebene Scan- und Exploit-Verhalten anwenden konnte, weil es nicht der einzige Bedrohungsakteur mit Zugang zu diesen Systemen war. Wir haben diese Aktivitäten von Ballistic Bobcat unter Verwendung der Sponsor-Backdoor als Sponsoring Access-Kampagne bezeichnet.

Die Sponsor-Backdoor verwendet Konfigurationsdateien auf der Festplatte, die von Batch-Dateien abgelegt werden, und beide sind so harmlos, dass sie Scan-Engines umgehen könnten. Dieser modulare Ansatz wurde von Ballistic Bobcat in den letzten zweieinhalb Jahren recht häufig und mit mäßigem Erfolg eingesetzt. Auf kompromittierten Systemen setzt Ballistic Bobcat auch weiterhin eine Reihe von Open-Source-Tools ein, die wir - zusammen mit der Sponsor-Backdoor - in diesem Blogpost beschreiben.

Viktimologie

Figure 2. Geographical distribution of entities targeted by Ballistic Bobcat with the Sponsor backdoor
Abbildung 2. Geografische Verteilung der von Ballistic Bobcat mit der Sponsor-Backdoor angegriffenen Einrichtungen

Die große Mehrheit der 34 Opfer befand sich in Israel, nur zwei in anderen Ländern:

  • Brasilien, bei einer medizinischen Genossenschaft und einem Krankenversicherungsunternehmen und
  • die Vereinigten Arabischen Emirate, bei einer nicht identifizierten Organisation.

Tabelle 1 beschreibt die Branchen und die organisatorischen Details der Opfer in Israel.

Tabelle 1. Vertikale und organisatorische Details für die Opfer in Israel

Vertical

Details

Automotive

·       An automotive company specializing in custom modifications.

·       An automotive repair and maintenance company.

Communications

·       An Israeli media outlet.

Engineering

·       A civil engineering firm.

·       An environmental engineering firm.

·       An architectural design firm.

Financial services

·       A financial services company that specializes in investment counseling.

·       A company that manages royalties.

Healthcare

·       A medical care provider.

Insurance

·       An insurance company that operates an insurance marketplace.

·       A commercial insurance company.

Law

·       A firm specializing in medical law.

Manufacturing

·       Multiple electronics manufacturing companies.

·       A company that manufactures metal-based commercial products.

·       A multinational technology manufacturing company.

Retail

·       A food retailer.

·       A multinational diamond retailer.

·       A skin care products retailer.

·       A window treatment retailer and installer.

·       A global electronic parts supplier.

·       A physical access control supplier.

Technology

·       An IT services technology company.

·       An IT solutions provider.

Telecommunications

·       A telecommunications company.

Unidentified

·       Multiple unidentified organizations.

Attribution

Im August 2021 wurde das oben genannte israelische Opfer, das einen Versicherungsmarktplatz betreibt, von Ballistic Bobcat mit den von CISA im November 2021 gemeldeten Tools angegriffen. Die von uns beobachteten Indikatoren für eine Kompromittierung (IoC) sind:

  • MicrosoftOutlookUpdateSchedule,
  • MicrosoftOutlookUpdateSchedule.xml,
  • GoogleChangeManagement und
  • GoogleChangeManagement.xml.

Die Ballistic Bobcat-Tools kommunizierten mit demselben Command-and-Control-Server (C&C) wie im CISA-Bericht: 162.55.137[.]20.

Im September 2021 erhielt dasselbe Opfer die nächste Generation der Ballistic Bobcat-Tools: die PowerLess-Backdoor und das dazugehörige Toolset. Die von uns beobachteten Indikatoren für eine Kompromittierung waren:

  • http://162.55.137[.]20/gsdhdDdfgA5sS/ff/dll.dll,
  • windowsprocesses.exe und
  • http://162.55.137[.]20/gsdhdDdfgA5sS/ff/windowsprocesses.exe.

Am 18. November 2021 setzte die Gruppe dann ein weiteres Tool (Plink) ein, das im CISA-Bericht als MicrosoftOutLookUpdater.exe beschrieben wurde . Zehn Tage später, am 28. November 2021, setzte Ballistic Bobcat den Merlin-Agenten ein (den Agent-Teil eines in Go geschriebenen Open-Source-Post-Exploitation-C&C-Servers und -Agenten). Auf der Festplatte trug dieser Merlin-Agent den Namen googleUpdate.exe, wobei die gleiche Namenskonvention wie im CISA-Bericht verwendet wurde, um sich unauffällig zu verstecken.

Der Merlin-Agent führte eine Meterpreter-Reverse-Shell aus, die einen neuen C&C-Server unter 37.120.222[.]168:80 aufrief. Am 12. Dezember 2021 legte die Reverse-Shell eine Batch-Datei, install.bat, ab , und innerhalb weniger Minuten nach der Ausführung der Batch-Datei setzten die Betreiber von Ballistic Bobcat ihre neueste Backdoor, Sponsor, ein. Dabei handelte es sich um die dritte Version der Backdoor.

Technische Analyse

Erster Zugriff

Bei 23 der 34 Opfer, die wir in der ESET-Telemetrie beobachtet haben, konnten wir eine wahrscheinliche Methode für den Erstzugang identifizieren. Ähnlich wie in den Berichten über PowerLess und von der CISA nutzte Ballistic Bobcat wahrscheinlich eine bekannte Schwachstelle (CVE-2021-26855) in Microsoft Exchange-Servern aus, um auf diesen Systemen Fuß zu fassen.

Bei 16 der 34 Opfer war Ballistic Bobcat offenbar nicht der einzige Bedrohungsakteur mit Zugang zu den Systemen. Dies könnte zusammen mit der großen Vielfalt der Opfer und dem Fehlen eines offensichtlichen Informationswerts bei einigen Opfern darauf hindeuten, dass Ballistic Bobcat eher ein Scan-and-Exploit-Verhalten an den Tag gelegt hat als eine gezielte Kampagne gegen vorher ausgewählte Opfer.

Toolset

Open-Source-Tools

Ballistic Bobcat setzte während der Sponsoring-Access-Kampagne eine Reihe von Open-Source-Tools ein. Diese Tools und ihre Funktionen sind in Tabelle 2aufgeführt .

Tabelle 2. Von Ballistic Bobcat verwendete Open-Source-Tools

Filename

Description

host2ip.exe

Maps a hostname to an IP address within the local network.

CSRSS.EXE

RevSocks, a reverse tunnel application.

mi.exe

Mimikatz, with an original filename of midongle.exe and packed with the Armadillo PE packer.

gost.exe

GO Simple Tunnel (GOST), a tunneling application written in Go.

chisel.exe

Chisel, a TCP/UDP tunnel over HTTP using SSH layers.

csrss_protected.exe

RevSocks tunnel, protected with the trial version of the Enigma Protector software protection.

plink.exe

Plink (PuTTY Link), a command line connection tool.

WebBrowserPassView.exe

A password recovery tool for passwords stored in web browsers.

sqlextractor.exe

A tool for interacting with, and extracting data from, SQL databases.

procdump64.exe

ProcDump, a  Sysinternals command line utility for monitoring applications and generating crash dumps.

Batch-Dateien

Ballistic Bobcat hat kurz vor der Installation der Sponsor-Backdoor Batch-Dateien auf den Systemen der Opfer installiert. Die uns bekannten Dateipfade sind:

  • C:\inetpub\wwwroot\aspnet_client\Install.bat
  • %USERPROFILE%\Desktop\Install.bat
  • %WINDOWS%\Aufgaben\Install.bat

Leider waren wir nicht in der Lage, an diese Batchdateien zu gelangen. Wir glauben jedoch, dass sie harmlose Konfigurationsdateien auf die Festplatte schreiben, die die Sponsor-Backdoor benötigt, um vollständig zu funktionieren. Die Namen dieser Konfigurationsdateien wurden von den Sponsor-Backdoors übernommen, aber nie gesammelt:

  • config.txt
  • node.txt
  • error.txt
  • Uninstall.bat

Wir glauben, dass die Batch-Dateien und Konfigurationsdateien Teil des modularen Entwicklungsprozesses sind, den Ballistic Bobcat in den letzten Jahren bevorzugt hat.

Sponsor-Backdoor

Sponsor-Backdoors sind in C++ geschrieben, mit Zeitstempeln für die Kompilierung und Pfaden zur Programmdatenbank (PDB), wie in Tabelle 3 dargestellt. Ein Hinweis zu den Versionsnummern: Die Spalte Version steht für die Version, die wir intern verfolgen, basierend auf der linearen Entwicklung der Sponsor-Backdoors, bei der Änderungen von einer Version zur nächsten vorgenommen werden. Die Spalte Internal version enthält die Versionsnummern, die in den einzelnen Sponsor-Backdoors beobachtet wurden, und dient der besseren Vergleichbarkeit bei der Untersuchung dieser und anderer potenzieller Sponsor Samples.

Tabelle 3. Zeitstempel der Sponsor-Kompilierung und PDBs

Version

Internal version

Compilation timestamp

PDB

1

1.0.0

2021-08-29 09:12:51

D:\Temp\BD_Plus_Srvc\Release\BD_Plus_Srvc.pdb

2

1.0.0

2021-10-09 12:39:15

D:\Temp\Sponsor\Release\Sponsor.pdb

3

1.4.0

2021-11-24 11:51:55

D:\Temp\Sponsor\Release\Sponsor.pdb

4

2.1.1

2022-02-19 13:12:07

D:\Temp\Sponsor\Release\Sponsor.pdb

5

1.2.3.0

2022-06-19 14:14:13

D:\Temp\Alumina\Release\Alumina.pdb

Die anfängliche Ausführung von Sponsor erfordert das Laufzeitargument install, ohne welches Sponsor ordnungsgemäß beendet wird - wahrscheinlich eine einfache Anti-Emulation/Anti-Sandbox-Technik. Wenn dieses Argument übergeben wird, erstellt Sponsor einen Dienst namens SystemNetwork (in v1) und Update (in allen anderen Versionen). Er setzt den Starttyp des Dienstes auf Automatisch und legt fest, dass er seinen eigenen Sponsor-Prozess ausführt, und gewährt ihm vollen Zugriff. Dann wird der Dienst gestartet.

Sponsor, der nun als Dienst läuft, versucht, die oben erwähnten Konfigurationsdateien zu öffnen, die zuvor auf der Festplatte abgelegt wurden. Er sucht nach config.txt und node.txt, die sich beide im aktuellen Arbeitsverzeichnis befinden. Fehlt die erste Datei, setzt Sponsor den Dienst auf "Angehalten" und beendet sich selbsttätig.

Backdoor-Konfiguration

Die Konfiguration von Sponsor, die in config.txt gespeichert ist, enthält zwei Felder:

  • Ein Aktualisierungsintervall in Sekunden, in dem der C&C-Server regelmäßig nach Befehlen gefragt wird.
  • Eine Liste von C&C-Servern, die in den Binärdateien von Sponsor als relays bezeichnet werden.

Die C&C-Server werden verschlüsselt gespeichert (RC4), und der Entschlüsselungsschlüssel befindet sich in der ersten Zeile von config.txt. Jedes der Felder, einschließlich des Entschlüsselungsschlüssels, hat das in Abbildung 3 dargestellte Format .

Figure 3. Format of configuration fields in config.txt
Abbildung 3. Format der Konfigurationsfelder in config.txt

Diese Unterfelder sind:

  • config_start: gibt die Länge von config_name an , falls vorhanden, oder Null, falls nicht. Wird von der Backdoor verwendet, um zu wissen, wo config_data beginnt.
  • config_len: Länge von config_data.
  • config_name: optional, enthält einen Namen, der dem Konfigurationsfeld gegeben wird.
  • config_data: die Konfiguration selbst, verschlüsselt (im Falle von C&C-Servern) oder unverschlüsselt (alle anderen Felder).

Abbildung 4 zeigt ein Beispiel mit farbkodiertem Inhalt einer möglichen config.txt Datei. Beachten Sie, dass es sich nicht um eine tatsächliche Datei handelt, die wir beobachtet haben, sondern um ein erfundenes Beispiel.

Figure 4. Example of possible contents of config.txt
Abbildung 4. Beispiel für den möglichen Inhalt einer config.txt

Die letzten beiden Felder in config.txt werden mit RC4 verschlüsselt, wobei die String-Darstellung des SHA-256-Hashes des angegebenen Entschlüsselungsschlüssels als Schlüssel für die Verschlüsselung der Daten verwendet wird. Die verschlüsselten Bytes werden hexadezimal kodiert als ASCII-Text gespeichert.

Sammeln von Host-Informationen

Sponsor sammelt Informationen über den Host, auf dem er läuft, meldet alle gesammelten Informationen an den C&C-Server und erhält eine Node-ID, die in node.txt geschrieben wird. Tabelle 4 listet die Schlüssel und Werte in der Windows-Registrierung auf, die Sponsor zum Abrufen der Informationen verwendet, und enthält ein Beispiel für die gesammelten Daten.

Tabelle 4. Von Sponsor gesammelte Informationen

Registry key

Value

Example

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Hostname

D-835MK12

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation

TimeZoneKeyName

Israel Standard Time

HKEY_USERS\.DEFAULT\Control Panel\International

LocaleName

he-IL

HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\BIOS

BaseBoardProduct

10NX0010IL

HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0

ProcessorNameString

Intel(R) Core(TM) i7-8565U CPU @ 1.80GHz

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

ProductName

Windows 10 Enterprise N

CurrentVersion

6.3

CurrentBuildNumber

19044

InstallationType

Client

Sponsor sammelt auch die Windows-Domäne des Hosts, indem er den folgenden WMIC-Befehl verwendet:

wmic computersystem get domain

Schließlich verwendet Sponsor Windows-APIs, um den aktuellen Benutzernamen zu ermitteln (GetUserNameW), festzustellen, ob der aktuelle Sponsor-Prozess als 32- oder 64-Bit-Anwendung läuft (GetCurrentProcess, dann IsWow64Process(CurrentProcess)), und um festzustellen, ob das System im Batteriebetrieb läuft oder an eine Wechsel- oder Gleichstromquelle angeschlossen ist (GetSystemPowerStatus).

Eine Merkwürdigkeit bezüglich der Überprüfung von 32- oder 64-Bit-Anwendungen ist, dass alle beobachteten Smaples von Sponsor 32-Bit waren. Dies könnte bedeuten, dass einige der Tools der nächsten Stufe diese Informationen benötigen.

Die gesammelten Informationen werden in einer base64-kodierten Nachricht gesendet, die vor der Kodierung mit r beginnt und das in Abbildung 5 gezeigte Format hat .

Figure 5. Format of the message sent by Sponsor to register the victimized computer
Abbildung 5. Format der vom Sponsor gesendeten Nachricht zur Registrierung des infizierten Computers

Die Informationen werden mit RC4 verschlüsselt, und der Verschlüsselungsschlüssel ist eine vor Ort generierte Zufallszahl. Der Schlüssel wird mit dem MD5-Algorithmus gehasht, nicht mit SHA-256, wie zuvor erwähnt. Dies ist bei allen Kommunikationen der Fall, bei denen der Sponsor verschlüsselte Daten senden muss.

Der C&C-Server antwortet mit einer Nummer, die zur Identifizierung des betroffenen Computers in späteren Kommunikationen verwendet und in die Datei node.txt geschrieben wird. Beachten Sie, dass der C&C-Server nach dem Zufallsprinzip aus der Liste ausgewählt wird, wenn die r-Nachricht gesendet wird, und dass derselbe Server in allen nachfolgenden Kommunikationen verwendet wird.

Befehlsverarbeitungsschleife

Sponsor fordert Befehle in einer Schleife an, die entsprechend dem in config.txt festgelegten Intervall schläft . Die Schritte sind:

  1. Wiederholtes Senden einer chk=Test-Nachricht, bis der C&C-Server mit Ok antwortet .
  2. Senden einer c (IS_CMD_AVAIL)-Nachricht an den C&C-Server und Empfangen eines Operator-Befehls.
  3. Verarbeiten des Befehl
    • Wenn eine Ausgabe an den C&C-Server zu senden ist, senden einer a (ACK)-Nachricht, einschließlich der Ausgabe (verschlüsselt), oder
    • Wenn die Ausführung fehlgeschlagen ist, senden einer f (FAILED)-Nachricht. Die Fehlermeldung wird nicht gesendet.
  4. Schlafen.

Die c-Nachricht wird gesendet, um die Ausführung eines Befehls anzufordern, und hat das in Abbildung 6 dargestellte Format (vor der base64-Kodierung) .

 

Figure 6. Format of the message sent by Sponsor to ask for commands to execute
Abbildung 6. Format der Nachricht, die von Sponsor gesendet wird, um nach auszuführenden Befehlen zu fragen

Das Feld encrypted_none in der Abbildung ist das Ergebnis der Verschlüsselung der hartcodierten Zeichenfolge None mit RC4. Der Schlüssel für die Verschlüsselung ist der MD5-Hash von node_id.

Die URL, die zur Kontaktaufnahme mit dem C&C-Server verwendet wird, lautet: http://<IP_oder_domain>:80. Dies könnte darauf hindeuten, dass 37.120.222[.]168:80 der einzige C&C-Server ist, der während der Sponsoring Access-Kampagne verwendet wurde, da dies die einzige IP-Adresse war, an die sich die Opferrechner über Port 80 gewandt haben.

Operator-Befehle

Die Operator-Befehle sind in Tabelle 5 beschrieben und erscheinen in der Reihenfolge, in der sie im Code zu finden sind. Die Kommunikation mit dem C&C-Server erfolgt über Port 80.

Tabelle 5. Operator-Befehle und Beschreibungen

Command

Description

p

Sends the process ID for the running Sponsor process.

e

Executes a command, as specified in a subsequent additional argument, on the Sponsor host using the following string:

c:\windows\system32\cmd.exe /c  <cmd>  > \result.txt 2>&1

Results are stored in result.txt in the current working directory. Sends an a message with the encrypted output to the C&C server if successfully executed. If failed, sends an f message (without specifying the error).

d

Receives a file from the C&C server and executes it. This command has many arguments: the target filename to write the file into, the MD5 hash of the file, a directory to write the file to (or the current working directory, by default), a Boolean to indicate whether to run the file or not, and the contents of the executable file, base64-encoded. If no errors occur, an a message is sent to the C&C server with Upload and execute file successfully or Upload file successfully without execute (encrypted). If errors occur during execution of the file, an f message is sent. If the MD5 hash of the contents of the file does not match the provided hash, an e (CRC_ERROR) message is sent to the C&C server (including only the encryption key used, and no other information). The use of the term Upload here is potentially confusing as the Ballistic Bobcat operators and coders take the point of view from the server side, whereas many might view this as a download based on the pulling of the file (i.e., downloading it) by the system using the Sponsor backdoor.

u

Attempts to download a file using the URLDownloadFileW Windows API and execute it. Success sends an a message with the encryption key used, and no other information. Failure sends an f message with a similar structure.

s

Executes a file already on disk, Uninstall.bat in the current working directory, that most likely contains commands to delete files related to the backdoor.

n

This command can be explicitly supplied by an operator or can be inferred by Sponsor as the command to execute in the absence of any other command. Referred to within Sponsor as NO_CMD, it executes a randomized sleep before checking back in with the C&C server.

b

Updates the list of C&Cs stored in config.txt in the current working directory. The new C&C addresses replace the previous ones; they are not added to the list. It sends an a message with
New relays replaced successfully (encrypted) to the C&C server if successfully updated.

i

Updates the predetermined check-in interval specified in config.txt. It sends an a message with New interval replaced successfully to the C&C server if successfully updated.

Aktualisierungen für Sponsor

Die Programmierer von Ballistic Bobcat haben den Code zwischen Sponsor v1 und v2 überarbeitet. Die beiden wichtigsten Änderungen in letzterer sind:

  • Optimierung des Codes, wobei mehrere längere Funktionen in Funktionen und Unterfunktionen minimiert wurden, und
  • Tarnung von Sponsor als Aktualisierungsprogramm durch Aufnahme der folgenden Meldung in die Dienstkonfiguration:

App updates are great for both app users and apps – updates mean that developers are always working on improving the app, keeping in mind a better customer experience with each update.
"App-Updates sind sowohl für die App-Benutzer als auch für die Apps von Vorteil - Updates bedeuten, dass die Entwickler ständig an der Verbesserung der App arbeiten und bei jedem Update ein besseres Kundenerlebnis im Auge behalten."

Netzwerk-Infrastruktur

Ballistic Bobcat nutzte nicht nur die in der PowerLess-Kampagne verwendete C&C-Infrastruktur, sondern führte auch einen neuen C&C-Server ein. Die Gruppe nutzte außerdem mehrere IPs, um während der Sponsoring Access-Kampagne Support-Tools zu speichern und zu liefern. Wir haben bestätigt, dass derzeit keine dieser IPs in Betrieb ist.

Fazit

Ballistic Bobcat arbeitet weiterhin mit einem Scan-and-Exploit-Modell und sucht nach Gelegenheitszielen mit ungepatchten Sicherheitslücken in Microsoft Exchange-Servern, die dem Internet ausgesetzt sind. Die Gruppe verwendet weiterhin ein vielfältiges Open-Source-Toolset, das durch mehrere benutzerdefinierte Anwendungen ergänzt wird, darunter auch ihre Sponsor-Backdoor. Verteidiger sind gut beraten, alle Geräte, die dem Internet ausgesetzt sind, mit Patches zu versehen und auf neue Anwendungen zu achten, die in ihren Unternehmen auftauchen.

Wenn Sie Fragen zu unserer auf WeLiveSecurity veröffentlichten Studie haben, kontaktieren Sie uns bitte unter threatintel@eset.com.
ESET Research bietet private APT Intelligence Reports und Datenfeeds an. Wenn Sie Fragen zu diesem Service haben, besuchen Sie die ESET Threat Intelligence Seite.

IoCs

Dateien

SHA-1

Filename

Detection

Description

098B9A6CE722311553E1D8AC5849BA1DC5834C52

N/A

Win32/Agent.UXG

Ballistic Bobcat backdoor, Sponsor (v1).

5AEE3C957056A8640041ABC108D0B8A3D7A02EBD

N/A

Win32/Agent.UXG

Ballistic Bobcat backdoor, Sponsor (v2).

764EB6CA3752576C182FC19CFF3E86C38DD51475

N/A

Win32/Agent.UXG

Ballistic Bobcat backdoor, Sponsor (v3).

2F3EDA9D788A35F4C467B63860E73C3B010529CC

N/A

Win32/Agent.UXG

Ballistic Bobcat backdoor, Sponsor (v4).

E443DC53284537513C00818392E569C79328F56F

N/A

Win32/Agent.UXG

Ballistic Bobcat backdoor, Sponsor (v5, aka Alumina).

C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61

N/A

WinGo/Agent.BT

RevSocks reverse tunnel.

39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6

N/A

clean

ProcDump, a command line utility for monitoring applications and generating crash dumps.

A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A

N/A

Generik.EYWYQYF

Mimikatz.

5D60C8507AC9B840A13FFDF19E3315A3E14DE66A

N/A

WinGo/Riskware.Gost.D

GO Simple Tunnel (GOST).

50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617

N/A

WinGo/HackTool.Chisel.A

Chisel reverse tunnel.

1AAE62ACEE3C04A6728F9EDC3756FABD6E342252

N/A

N/A

Host2IP discovery tool.

519CA93366F1B1D71052C6CE140F5C80CE885181

N/A

Win64/Packed.Enigma.BV

RevSocks tunnel, protected with the trial version of the Enigma Protector software protection.

4709827C7A95012AB970BF651ED5183083366C79

N/A

N/A

Plink (PuTTY Link), a command line connection tool.

99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8

N/A

Win32/PSWTool.WebBrowserPassView.I

A password recovery tool for passwords stored in web browsers.

E52AA118A59502790A4DD6625854BD93C0DEAF27

N/A

MSIL/HackTool.SQLDump.A

A tool for interacting with, and extracting data from, SQL databases.

Dateipfade

Im Folgenden finden Sie eine Liste der Pfade, in denen die Sponsor-Backdoor auf den betroffenen Computern bereitgestellt wurde.

%SYSTEMDRIVE%\inetpub\wwwroot\aspnet_client\

%USERPROFILE%\AppData\Local\Temp\file\

%USERPROFILE%\AppData\Local\Temp\2\low\

%USERPROFILE%\Desktop\

%USERPROFILE%\Downloads\a\

%WINDIR%\

%WINDIR%\INF\MSExchange Delivery DSN\

%WINDIR%\Tasks\

%WINDIR%\Temp\%WINDIR%\Temp\crashpad\1\Files

Netzwerk

IP

Provider

First seen

Last seen

Details

162.55.137[.]20

Hetzner Online GMBH

2021-06-14

2021-06-15

PowerLess C&C.

37.120.222[.]168

M247 LTD

2021-11-28

2021-12-12

Sponsor C&C.

198.144.189[.]74

Colocrossing

2021-11-29

2021-11-29

Support tools download site.

5.255.97[.]172

The Infrastructure Group B.V.

2021-09-05

2021-10-28

Support tools download site.

MITRE ATT&CK-Techniken

Diese Tabelle wurde mit der Version 13 des MITRE ATT&CK-Frameworks erstellt.

Tactic

ID

Name

Description

Reconnaissance

T1595

Active Scanning: Vulnerability Scanning

Ballistic Bobcat scans for vulnerable versions of Microsoft Exchange Servers to exploit.

Resource Development

T1587.001

Develop Capabilities: Malware

Ballistic Bobcat designed and coded the Sponsor backdoor.

T1588.002

Obtain Capabilities: Tool

Ballistic Bobcat uses various open-source tools as part of the Sponsoring Access campaign.

Initial Access

T1190

Exploit Public-Facing Application

Ballistic Bobcat targets internet-exposed  Microsoft Exchange Servers.

Execution

T1059.003

Command and Scripting Interpreter: Windows Command Shell

The Sponsor backdoor uses the Windows command shell to execute commands on the victim’s system.

T1569.002

System Services: Service Execution

The Sponsor backdoor sets itself as a service and initiates its primary functions after the service is executed.

Persistence

T1543.003

Create or Modify System Process: Windows Service

Sponsor maintains persistence by creating a service with automatic startup that executes its primary functions in a loop.

Privilege Escalation

T1078.003

Valid Accounts: Local Accounts

Ballistic Bobcat operators attempt to steal credentials of valid users after initially exploiting a system before deploying the Sponsor backdoor.

Defense Evasion

T1140

Deobfuscate/Decode Files or Information

Sponsor stores information on disk that is encrypted and obfuscated, and deobfuscates it at runtime.

T1027

Obfuscated Files or Information

Configuration files that the Sponsor backdoor requires on disk are encrypted and obfuscated.

T1078.003

Valid Accounts: Local Accounts

Sponsor is executed with admin privileges, likely using credentials that operators found on disk; along with Ballistic Bobcat’s innocuous naming conventions, this allows Sponsor to blend into the background.

Credential Access

T1555.003

Credentials from Password Stores: Credentials from Web Browsers

Ballistic Bobcat operators use open-source tools to steal credentials from password stores inside web browsers.

Discovery

T1018

Remote System Discovery

Ballistic Bobcat uses the Host2IP tool, previously used by Agrius, to discover other systems within reachable networks and correlate their hostnames and IP addresses.

Command and Control

T1001

Data Obfuscation

The Sponsor backdoor obfuscates data before sending it to the C&C server.