Сообщение отправляется для запроса команды на выполнение и имеет формат (до base64-кодирования), показанный на Рисунке 6.
Поле encrypted_none на рисунке является результатом шифрования захардкоженной строки None с помощью RC4. Ключом для шифрования является MD5-хеш node_id.
URL, используемый для связи с C&C-сервером, строится следующим образом: http://<IP_or_domain>:80. Это может указывать на то, что 37.120.222[.]168:80 является единственным C&C-сервером, используемым на протяжении всей кампании Sponsoring Access, поскольку это был единственный IP-адрес, к которому обращались машины жертв на порту 80.
Команды оператора
Команды оператора приведены в Таблице 5 и представлены в том порядке, в котором они встречаются в коде. Связь с C&C-сервером осуществляется через порт 80.
Таблица 5. Команды оператора и их описания
|
Команда |
Описание |
|
p |
Отправляет идентификатор процесса для запущенного процесса Sponsor. |
|
e |
Выполняет команду, указанную в последующем дополнительном аргументе, на хосте Sponsor, используя следующую строку: c:windowssystem32cmd.exe /c Результаты сохраняются в result.txt в текущем рабочем каталоге. Отправляет сообщение a с зашифрованным выводом на C&C-сервер в случае успешного выполнения. В случае неудачи отправляет сообщение f (без указания ошибки). |
|
d |
Получает файл с C&C-сервера и выполняет его. Эта команда имеет множество аргументов: имя целевого файла для записи, MD5-хеш файла, каталог для записи файла (или текущий рабочий каталог по умолчанию), булево значение, указывающее, следует ли запускать файл, и содержимое исполняемого файла, закодированное в base64. В случае отсутствия ошибок на C&C-сервер отправляется сообщение a с текстом Upload and execute file successfully (Загрузка и выполнение файла успешно) или Upload file successfully without execute (Загрузка файла успешно без выполнения) (зашифровано). В случае ошибок при выполнении файла отправляется сообщение f. Если MD5-хеш содержимого файла не совпадает с предоставленным хешем, на C&C-сервер отправляется сообщение e (CRC_ERROR) (включающее только используемый ключ шифрования и никакой другой информации). Использование термина Upload здесь потенциально сбивает с толку, поскольку операторы и кодеры Ballistic Bobcat рассматривают это с точки зрения сервера, тогда как многие могут рассматривать это как загрузку (download) из-за получения файла (т.е. скачивания его) системой, использующей бэкдор Sponsor. |
|
u |
Пытается загрузить файл с помощью Windows API URLDownloadFileW и выполнить его. В случае успеха отправляется сообщение a с используемым ключом шифрования и никакой другой информацией. В случае неудачи отправляется сообщение f с аналогичной структурой. |
|
s |
Выполняет файл, уже находящийся на диске, Uninstall.bat в текущем рабочем каталоге, который, скорее всего, содержит команды для удаления файлов, связанных с бэкдором. |
|
n |
Эта команда может быть явно указана оператором или может быть выведена Sponsor как команда для выполнения при отсутствии какой-либо другой команды. Внутри Sponsor она называется NO_CMD, выполняет случайную задержку перед повторной связью с C&C-сервером. |
|
b |
Обновляет список C&C, хранящийся в config.txt в текущем рабочем каталоге. Новые адреса C&C заменяют предыдущие; они не добавляются в список. Отправляет сообщение a с текстом |
|
i |
Обновляет предопределенный интервал проверки, указанный в config.txt. Отправляет сообщение a с текстом New interval replaced successfully (Новый интервал успешно заменен) на C&C-сервер в случае успешного обновления. |
Обновления Sponsor
Разработчики Ballistic Bobcat внесли изменения в код между версиями Sponsor v1 и v2. Два наиболее значительных изменения во второй версии:
- Оптимизация кода, где несколько длинных функций были сведены к функциям и подфункциям, и
- Маскировка Sponsor под программу обновления путем включения следующего сообщения в конфигурацию службы:
Обновления приложений полезны как для пользователей, так и для самих приложений — обновления означают, что разработчики постоянно работают над улучшением приложения, думая о лучшем пользовательском опыте с каждым обновлением.
Сетевая инфраструктура
В дополнение к использованию инфраструктуры C&C, задействованной в кампании PowerLess, Ballistic Bobcat также представил новый C&C-сервер. Группа также использовала несколько IP-адресов для хранения и доставки вспомогательных инструментов во время кампании Sponsoring Access. Мы подтвердили, что ни один из этих IP-адресов в настоящее время не активен.
Заключение
Ballistic Bobcat продолжает работать по модели «сканирование и эксплуатация», выискивая возможности с неустраненными уязвимостями в доступных из Интернета серверах Microsoft Exchange. Группа продолжает использовать разнообразный набор инструментов с открытым исходным кодом, дополненный несколькими пользовательскими приложениями, включая бэкдор Sponsor. Защитникам рекомендуется установить исправления для всех устройств, доступных из Интернета, и оставаться бдительными в отношении появления новых приложений в их организациях.
По всем вопросам, касающимся наших исследований, опубликованных на WeLiveSecurity, пожалуйста, свяжитесь с нами по адресу threatintel@eset.com.
ESET Research предлагает частные отчеты по разведке угроз APT и потоки данных. По всем вопросам, касающимся этой услуги, посетите страницу ESET Threat Intelligence.
IoCs
Файлы
Пути к файлам
Ниже приведен список путей, по которым бэкдор Sponsor был развернут на машинах жертв.
%SYSTEMDRIVE%inetpubwwwrootaspnet_client
%USERPROFILE%AppDataLocalTempfile
%USERPROFILE%AppDataLocalTemp2low
%USERPROFILE%Desktop
%USERPROFILE%Downloadsa
%WINDIR%
%WINDIR%INFMSExchange Delivery DSN
%WINDIR%Tasks
%WINDIR%Temp%WINDIR%Tempcrashpad1Files
|
Filename |
Description |
host2ip.exe
|
Maps a hostname to an IP address within the local network. |
CSRSS.EXE
|
RevSocks, a reverse tunnel application. |
mi.exe
|
Mimikatz, with an original filename of midongle.exe and packed with the Armadillo PE packer. |
gost.exe
|
GO Simple Tunnel (GOST), a tunneling application written in Go. |
chisel.exe
|
Chisel, a TCP/UDP tunnel over HTTP using SSH layers. |
csrss_protected.exe
|
RevSocks tunnel, protected with the trial version of the Enigma Protector software protection. |
plink.exe
|
Plink (PuTTY Link), a command line connection tool. |
|
WebBrowserPassView.exe
|
A password recovery tool for passwords stored in web browsers.
|
sqlextractor.exe
|
A tool for interacting with, and extracting data from, SQL databases. |
procdump64.exe
|
ProcDump, a |
|
IP |
Провайдер |
Первый раз замечен |
Последний раз замечен |
Детали |
|
162.55.137[.]20 |
Hetzner Online GMBH |
14.06.2021 |
15.06.2021 |
PowerLess C&C. |
|
37.120.222[.]168 |
M247 LTD |
28.11.2021 |
12.12.2021 |
Sponsor C&C. |
|
198.144.189[.]74 |
Colocrossing |
29.11.2021 |
29.11.2021 |
Сайт загрузки вспомогательных инструментов. |
|
5.255.97[.]172 |
The Infrastructure Group B.V. |
05.09.2021 |
28.10.2021 |
Сайт загрузки вспомогательных инструментов. |
Техники MITRE ATT&CK
Эта таблица составлена с использованием версии 13 фреймворка MITRE ATT&CK.
|
Тактика |
ID |
Название |
Описание |
|
Разведка |
Активное сканирование: Сканирование уязвимостей |
Ballistic Bobcat сканирует уязвимые версии серверов Microsoft Exchange для их эксплуатации. |
|
|
Разработка ресурсов |
Разработка возможностей: Вредоносное ПО |
Ballistic Bobcat разработала и написала бэкдор Sponsor. |
|
|
Получение возможностей: Инструмент |
Ballistic Bobcat использует различные инструменты с открытым исходным кодом в рамках кампании Sponsoring Access. |
||
|
Первоначальный доступ |
Эксплуатация общедоступного приложения |
Ballistic Bobcat нацеливается на общедоступные серверы Microsoft Exchange. |
|
|
Выполнение |
Интерпретатор команд и скриптов: Командная оболочка Windows |
Бэкдор Sponsor использует командную оболочку Windows для выполнения команд в системе жертвы. |
|
|
Системные службы: Выполнение службы |
Бэкдор Sponsor устанавливает себя как службу и инициирует свои основные функции после выполнения службы. |
||
|
Закрепление |
Создание или изменение системного процесса: Служба Windows |
Sponsor обеспечивает закрепление, создавая службу с автоматическим запуском, которая выполняет свои основные функции в цикле. |
|
|
Повышение привилегий |
Действительные учетные записи: Локальные учетные записи |
Операторы Ballistic Bobcat пытаются украсть учетные данные действительных пользователей после первоначальной эксплуатации системы перед развертыванием бэкдора Sponsor. |
|
|
Обход защиты |
Деобфускация/декодирование файлов или информации |
Sponsor хранит информацию на диске, которая зашифрована и обфусцирована, и деобфусцирует ее во время выполнения. |
|
|
Обфусцированные файлы или информация |
Конфигурационные файлы, которые требуются бэкдору Sponsor на диске, зашифрованы и обфусцированы. |
||
|
Действительные учетные записи: Локальные учетные записи |
Sponsor выполняется с правами администратора, вероятно, с использованием учетных данных, найденных операторами на диске; наряду с безобидными соглашениями об именовании Ballistic Bobcat, это позволяет Sponsor слиться с фоном. |
||
|
Доступ к учетным данным |
Учетные данные из хранилищ паролей: Учетные данные из веб-браузеров |
Операторы Ballistic Bobcat используют инструменты с открытым исходным кодом для кражи учетных данных из хранилищ паролей в веб-браузерах. |
|
|
Обнаружение |
Обнаружение удаленных систем |
Ballistic Bobcat использует инструмент Host2IP, ранее использовавшийся Agrius, для обнаружения других систем в доступных сетях и сопоставления их имен хостов и IP-адресов. |
|
|
Командование и контроль |
Обфускация данных |
Бэкдор Sponsor обфусцирует данные перед отправкой на C&C-сервер. |
Мы считаем, что пакетные файлы и конфигурационные файлы являются частью процесса модульной разработки, который Ballistic Bobcat предпочитает в последние несколько лет.
Бэкдор Sponsor
Бэкдоры Sponsor написаны на C++ с временными метками компиляции и путями к базам данных программ (PDB), как показано в Таблице 3. Примечание о номерах версий: столбец Версия представляет собой версию, которую мы отслеживаем внутренне на основе линейной прогрессии бэкдоров Sponsor, где изменения вносятся от одной версии к следующей. Столбец Внутренняя версия содержит номера версий, наблюдаемые в каждом бэкдоре Sponsor, и включены для удобства сравнения при анализе этих и других потенциальных образцов Sponsor.
Таблица 3. Временные метки компиляции и PDB Sponsor
|
Версия |
Внутренняя версия |
Временная метка компиляции |
PDB |
|
1 |
1.0.0 |
2021-08-29 09:12:51 |
D:TempBD_Plus_SrvcReleaseBD_Plus_Srvc.pdb |
|
2 |
1.0.0 |
2021-10-09 12:39:15 |
D:TempSponsorReleaseSponsor.pdb |
|
3 |
1.4.0 |
2021-11-24 11:51:55 |
D:TempSponsorReleaseSponsor.pdb |
|
4 |
2.1.1 |
2022-02-19 13:12:07 |
D:TempSponsorReleaseSponsor.pdb |
|
5 |
1.2.3.0 |
2022-06-19 14:14:13 |
D:TempAluminaReleaseAlumina.pdb |
Начальное выполнение Sponsor требует аргумента командной строки install, без которого Sponsor корректно завершается, вероятно, это простая техника защиты от эмуляции/песочницы. Если этот аргумент передан, Sponsor создает службу под названием SystemNetwork (в v1) и Update (во всех остальных версиях). Он устанавливает для службы тип запуска Автоматический, настраивает ее на запуск собственного процесса Sponsor и предоставляет ей полный доступ. Затем он запускает службу.
Sponsor, теперь запущенный как служба, пытается открыть упомянутые выше конфигурационные файлы, ранее размещенные на диске. Он ищет config.txt и node.txt, оба в текущем рабочем каталоге. Если первый отсутствует, Sponsor устанавливает службу в состояние Остановлена и корректно завершается.
Конфигурация бэкдора
Конфигурация Sponsor, хранящаяся в config.txt, содержит два поля:
- Интервал обновления в секундах для периодического обращения к серверу C&C за командами.
- Список серверов C&C, называемых relays в бинарных файлах Sponsor.
Серверы C&C хранятся в зашифрованном виде (RC4), а ключ дешифрования находится в первой строке config.txt. Каждое из полей, включая ключ дешифрования, имеет формат, показанный на Рисунке 3.
config.txt
Эти подполя:
- config_start: указывает длину config_name, если он присутствует, или ноль, если отсутствует. Используется бэкдором, чтобы знать, где начинаются config_data.
- config_len: длина config_data.
- config_name: необязательное поле, содержит имя, данное конфигурационному полю.
- config_data: сама конфигурация, зашифрованная (в случае серверов C&C) или нет (все остальные поля).
На Рисунке 4 показан пример с цветовой кодировкой содержимого возможного файла config.txt. Обратите внимание, что это не реальный файл, который мы наблюдали, а сфабрикованный пример.
config.txt
Последние два поля в config.txt зашифрованы с помощью RC4, используя строковое представление хеша SHA-256 указанного ключа дешифрования в качестве ключа для шифрования данных. Мы видим, что зашифрованные байты хранятся в шестнадцатеричном формате как текстовые ASCII-символы.
Сбор информации о хосте
Sponsor собирает информацию о хосте, на котором он запущен, передает всю собранную информацию на сервер C&C и получает идентификатор узла, который записывается в node.txt. Таблица 4
перечисляет ключи и значения в реестре Windows, которые Sponsor использует для получения информации, и предоставляет пример собранных данных.
Таблица 4. Информация, собранная Sponsor
|
Registry key |
Value |
Example |
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
|
Hostname
|
D-835MK12
|
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTimeZoneInformation
|
TimeZoneKeyName
|
Israel Standard Time
|
HKEY_USERS.DEFAULTControl PanelInternational
|
LocaleName
|
he-IL
|
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemBIOS
|
BaseBoardProduct
|
10NX0010IL
|
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessor�
|
ProcessorNameString
|
Intel(R) Core(TM) i7-8565U CPU @ 1.80GHz
|
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion
|
ProductName
|
Windows 10 Enterprise N
|
CurrentVersion
|
6.3
|
|
CurrentBuildNumber
|
19044
|
|
InstallationType
|
Client
|
Sponsor также собирает домен Windows хоста, используя следующую команду WMIC:
wmic computersystem get domain
Наконец, Sponsor использует API Windows для сбора текущего имени пользователя (GetUserNameW), определения, запущен ли текущий процесс Sponsor как 32- или 64-битное приложение (GetCurrentProcess, затем IsWow64Process(CurrentProcess)) и определения, работает ли система от батареи или подключена к сети переменного или постоянного тока (GetSystemPowerStatus).
Одной из странностей проверки 32- или 64-битного приложения является то, что все наблюдаемые образцы Sponsor были 32-битными. Это может означать, что некоторые инструменты следующего этапа требуют этой информации.
Собранная информация отправляется в сообщении, закодированном в base64, которое перед кодированием начинается с
r и имеет формат, показанный на Рисунке 5.
Информация шифруется с помощью RC4, а ключ шифрования — случайное число, генерируемое на месте. Ключ хешируется с помощью алгоритма MD5, а не SHA-256, как упоминалось ранее. Это относится ко всем коммуникациям, где Sponsor должен отправлять зашифрованные данные.
Сервер C&C отвечает числом, используемым для идентификации компьютера жертвы в последующих коммуникациях, которое записывается в node.txt. Обратите внимание, что сервер C&C выбирается случайным образом из списка при отправке сообщения r, и тот же сервер используется во всех последующих коммуникациях.
Цикл обработки команд
Sponsor запрашивает команды в цикле, засыпая в соответствии с интервалом, указанным в config.txt. Шаги следующие:
- Send a chk=Test message repeatedly, until the C&C server replies Ok.
- Send a c (IS_CMD_AVAIL) message to the C&C server, and receive an operator command.
- Process the command.
- If there is output to be sent to the C&C server, send an a (ACK) message, including the output (encrypted), or
- If execution failed, send an f
(FAILED) message. The error message is not sent.
- Sleep.
The c message is sent to request a command to execute, and has the format (before base64 encoding) shown in Figure 6.
The encrypted_none field in the figure is the result of encrypting the hardcoded string None with RC4. The key for encryption is the MD5 hash of node_id.
The URL used to contact the C&C server is built as: http://<IP_or_domain>:80. This may indicate that 37.120.222[.]168:80 is the only C&C server used throughout the Sponsoring Access campaign, as it was the only IP address we observed victim machines reaching out to on port 80.
Operator commands
Operator commands are delineated in Table 5 and appear in the order in which they are found in the code. Communication with the C&C server occurs over port 80.
Table 5. Operator commands and descriptions
|
Command |
Description |
|
p |
Sends the process ID for the running Sponsor process. |
|
e |
Executes a command, as specified in a subsequent additional argument, on the Sponsor host using the following string: c:windowssystem32cmd.exe /c Results are stored in result.txt in the current working directory. Sends an a message with the encrypted output to the C&C server if successfully executed. If failed, sends an f message (without specifying the error). |
|
d |
Receives a file from the C&C server and executes it. This command has many arguments: the target filename to write the file into, the MD5 hash of the file, a directory to write the file to (or the current working directory, by default), a Boolean to indicate whether to run the file or not, and the contents of the executable file, base64-encoded. If no errors occur, an a message is sent to the C&C server with Upload and execute file successfully or Upload file successfully without execute (encrypted). If errors occur during execution of the file, an f message is sent. If the MD5 hash of the contents of the file does not match the provided hash, an e (CRC_ERROR) message is sent to the C&C server (including only the encryption key used, and no other information). The use of the term Upload here is potentially confusing as the Ballistic Bobcat operators and coders take the point of view from the server side, whereas many might view this as a download based on the pulling of the file (i.e., downloading it) by the system using the Sponsor backdoor. |
|
u |
Attempts to download a file using the URLDownloadFileW Windows API and execute it. Success sends an a message with the encryption key used, and no other information. Failure sends an f message with a similar structure. |
|
s |
Executes a file already on disk, Uninstall.bat in the current working directory, that most likely contains commands to delete files related to the backdoor. |
|
n |
This command can be explicitly supplied by an operator or can be inferred by Sponsor as the command to execute in the absence of any other command. Referred to within Sponsor as NO_CMD, it executes a randomized sleep before checking back in with the C&C server. |
|
b |
Updates the list of C&Cs stored in config.txt in the current working directory. The new C&C addresses replace the previous ones; they are not added to the list. It sends an a message with |
|
i |
Updates the predetermined check-in interval specified in config.txt. It sends an a message with New interval replaced successfully to the C&C server if successfully updated. |
Updates to Sponsor
Ballistic Bobcat coders made code revisions between Sponsor v1 and v2. The two most significant changes in the latter are:
- Optimization of code where several longer functions were minimized into functions and subfunctions, and
- Disguising Sponsor as an updater program by including the following message in the service configuration:
App updates are great for both app users and apps – updates mean that developers are always working on improving the app, keeping in mind a better customer experience with each update.
Network infrastructure
In addition to piggybacking on the C&C infrastructure used in the PowerLess campaign, Ballistic Bobcat also introduced a new C&C server. The group also utilized multiple IPs to store and deliver support tools during the Sponsoring Access campaign. We have confirmed that none of these IPs are in operation at this time.
Conclusion
Ballistic Bobcat continues to operate on a scan-and-exploit model, looking for targets of opportunity with unpatched vulnerabilities in internet-exposed Microsoft Exchange servers. The group continues to use a diverse open-source toolset supplemented with several custom applications, including its Sponsor backdoor. Defenders would be well advised to patch any internet-exposed devices and remain vigilant for new applications popping up within their organizations.
For any inquiries about our research published on WeLiveSecurity, please contact us at threatintel@eset.com.
ESET Research offers private APT intelligence reports and data feeds. For any inquiries about this service, visit the ESET Threat Intelligence page.
IoCs
Files
|
SHA-1 |
Filename |
Detection |
Description |
098B9A6CE722311553E1D8AC5849BA1DC5834C52
|
N/A |
Win32/Agent.UXG |
Ballistic Bobcat backdoor, Sponsor (v1). |
5AEE3C957056A8640041ABC108D0B8A3D7A02EBD
|
N/A |
Win32/Agent.UXG |
Ballistic Bobcat backdoor, Sponsor (v2). |
764EB6CA3752576C182FC19CFF3E86C38DD51475
|
N/A |
Win32/Agent.UXG |
Ballistic Bobcat backdoor, Sponsor (v3). |
2F3EDA9D788A35F4C467B63860E73C3B010529CC
|
N/A |
Win32/Agent.UXG |
Ballistic Bobcat backdoor, Sponsor (v4). |
E443DC53284537513C00818392E569C79328F56F
|
N/A |
Win32/Agent.UXG |
Ballistic Bobcat backdoor, Sponsor (v5, aka Alumina). |
C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61
|
N/A |
WinGo/Agent.BT |
RevSocks reverse tunnel. |
39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6
|
N/A |
clean |
ProcDump, a command line utility for monitoring applications and generating crash dumps. |
A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A
|
N/A |
Generik.EYWYQYF |
Mimikatz. |
5D60C8507AC9B840A13FFDF19E3315A3E14DE66A
|
N/A |
WinGo/Riskware.Gost.D |
GO Simple Tunnel (GOST). |
50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617
|
N/A |
WinGo/HackTool.Chisel.A |
Chisel reverse tunnel. |
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252
|
N/A |
N/A |
Host2IP discovery tool. |
519CA93366F1B1D71052C6CE140F5C80CE885181
|
N/A |
Win64/Packed.Enigma.BV |
RevSocks tunnel, protected with the trial version of the Enigma Protector software protection. |
4709827C7A95012AB970BF651ED5183083366C79
|
N/A |
N/A |
Plink (PuTTY Link), a command line connection tool. |
99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8
|
N/A |
Win32/PSWTool.WebBrowserPassView.I |
A password recovery tool for passwords stored in web browsers. |
E52AA118A59502790A4DD6625854BD93C0DEAF27
|
N/A |
MSIL/HackTool.SQLDump.A |
A tool for interacting with, and extracting data from, SQL databases. |
File paths
The following is a list of paths where the Sponsor backdoor was deployed on victimized machines.
%SYSTEMDRIVE%inetpubwwwrootaspnet_client
%USERPROFILE%AppDataLocalTempfile
%USERPROFILE%AppDataLocalTemp2low
%USERPROFILE%Desktop
%USERPROFILE%Downloadsa
%WINDIR%
%WINDIR%INFMSExchange Delivery DSN
%WINDIR%Tasks
%WINDIR%Temp%WINDIR%Tempcrashpad1Files
Network
|
IP |
Provider |
First seen |
Last seen |
Details |
|
162.55.137[.]20 |
Hetzner Online GMBH |
2021-06-14 |
2021-06-15 |
PowerLess C&C. |
|
37.120.222[.]168 |
M247 LTD |
2021-11-28 |
2021-12-12 |
Sponsor C&C. |
|
198.144.189[.]74 |
Colocrossing |
2021-11-29 |
2021-11-29 |
Support tools download site. |
|
5.255.97[.]172 |
The Infrastructure Group B.V. |
2021-09-05 |
2021-10-28 |
Support tools download site. |
MITRE ATT&CK techniques
This table was built using version 13 of the MITRE ATT&CK framework.
|
Tactic |
ID |
Name |
Description |
|
Reconnaissance |
Active Scanning: Vulnerability Scanning |
Ballistic Bobcat scans for vulnerable versions of Microsoft Exchange Servers to exploit. |
|
|
Resource Development |
Develop Capabilities: Malware |
Ballistic Bobcat designed and coded the Sponsor backdoor. |
|
|
Obtain Capabilities: Tool |
Ballistic Bobcat uses various open-source tools as part of the Sponsoring Access campaign. |
||
|
Initial Access |
Exploit Public-Facing Application |
Ballistic Bobcat targets internet-exposed |
|
|
Execution |
Command and Scripting Interpreter: Windows Command Shell |
The Sponsor backdoor uses the Windows command shell to execute commands on the victim’s system. |
|
|
System Services: Service Execution |
The Sponsor backdoor sets itself as a service and initiates its primary functions after the service is executed. |
||
|
Persistence |
Create or Modify System Process: Windows Service |
Sponsor maintains persistence by creating a service with automatic startup that executes its primary functions in a loop. |
|
|
Privilege Escalation |
Valid Accounts: Local Accounts |
Ballistic Bobcat operators attempt to steal credentials of valid users after initially exploiting a system before deploying the Sponsor backdoor. |
|
|
Defense Evasion |
Deobfuscate/Decode Files or Information |
Sponsor stores information on disk that is encrypted and obfuscated, and deobfuscates it at runtime. |
|
|
Obfuscated Files or Information |
Configuration files that the Sponsor backdoor requires on disk are encrypted and obfuscated. |
||
|
Valid Accounts: Local Accounts |
Sponsor is executed with admin privileges, likely using credentials that operators found on disk; along with Ballistic Bobcat’s innocuous naming conventions, this allows Sponsor to blend into the background. |
||
|
Credential Access |
Credentials from Password Stores: Credentials from Web Browsers |
Ballistic Bobcat operators use open-source tools to steal credentials from password stores inside web browsers. |
|
|
Discovery |
Remote System Discovery |
Ballistic Bobcat uses the Host2IP tool, previously used by Agrius, to discover other systems within reachable networks and correlate their hostnames and IP addresses. |
|
|
Command and Control |
Data Obfuscation |
The Sponsor backdoor obfuscates data before sending it to the C&C server. |
