Erkennung von BazarLoader-Malware

[post-views]
Juni 25, 2021 · 3 min zu lesen
Erkennung von BazarLoader-Malware

Experten warnen vor einem ungewöhnlichen Ansatz, um Ziele mit BazarLoader zu infizieren ein berüchtigter Stamm, der häufig verwendet wird, um Ransomware zu verbreiten. Das Hacker-Kollektiv, genannt BazarCall, missbraucht die Funktionalität von Call Centern, um Opfer dazu zu verleiten, die bösartige Nutzlast herunterzuladen. Die Kampagne ist seit mindestens Februar 2021 aktiv und fügt kontinuierlich neue Tricks hinzu, um ihre Bekanntheit zu steigern.

BazarCall-Angriffs-Kill-Chain

Laut der Untersuchung von Palo Alto Networksbeginnt die Angriffskette typischerweise mit einer Phishing-E-Mail, die sich als Serviceteam ausgibt. Die E-Mail enthält eine gefälschte Benachrichtigung, um das Opfer vor dem Ende eines Probeabonnements und der bevorstehenden Abrechnung zu warnen. Um eine Belastung zu verhindern, werden die Opfer aufgefordert, eine Telefonnummer eines Helpcenters anzurufen, um weitere Anweisungen zu erhalten. Wenn die Opfer dazu gebracht werden, anzurufen, führt der Operator sie zu einer gefälschten Unternehmenswebsite, auf der sie sicherstellen, dass sie ein bösartiges Excel-Dokument herunterladen und Makros aktivieren. Infolgedessen werden Windows-Installationen mit BazarLoader infiziert. Sicherheitsexperten weisen auch darauf hin, dass das Cobalt-Strike-Pentest-Kit oft als Folge-Malware eingesetzt wird. BazarCall-Hacker nutzen es, um Active Directory-Datenbankanmeldeinformationen zu stehlen und seitliche Bewegungen innerhalb des kompromittierten Netzwerks durchzuführen.

Die niederträchtige Kampagne hat kürzlich die Aufmerksamkeit des Microsoft Security Intelligence-Teams erregt. Da sie eine zunehmende Anzahl von Phishing-E-Mails beobachten, die auf Office 365-Nutzer abzielen, untersuchen Microsoft-Experten nun die bösartigen Aktivitäten von BazarCall. Um die Community-Aktivitäten zu unterstützen, haben sie eine dedizierte GitHub-Seite gestartet, die darauf abzielt, Details über die laufende Kampagne zu teilen.

Was ist BazarLoader?

BazarLoader ist ein beliebter Malware-Stamm, der häufig von verschiedenen Bedrohungsakteuren verwendet wird, um Second-Stage-Nutzlasten an das Zielnetzwerk zu bringen. Er ist in C++ geschrieben und ist seit mindestens 2020 in der bösartigen Arena aktiv.

Die Malware bietet Hintertürzugriff auf den angegriffenen Windows-Rechner und ermöglicht es Hackern, Folge-Malware zu senden, Aufklärung durchzuführen und andere exponierte Geräte in der kompromittierten Umgebung auszunutzen. Zuvor wurde er aktiv von Ruyk-Maintainern verwendet als Downloader für die endgültige Ransomware-Nutzlast.

Kürzlich beobachteten Forscher eine bedeutende Entwicklung der Infektionsmethoden von BazarLoad. Neben dem Ansatz des falschen Call Centers wurde die Malware entdeckt dass sie über beliebte Kollaborationstools wie Slack und BaseCamp verbreitet wird. In allen Fällen nutzt BazarLoad Trickbots Kommando- und Kontrollinfrastruktur für den Betrieb. Daher vermuten Sicherheitspraktiker, dass Trickbot-Maintainer hinter der erwähnten bösartigen Aktivität stehen könnten.

BazarCall-Kampagnenerkennung

Um die BazarLoader-Malware, die im Rahmen der BazarCall-Kampagne verbreitet wird, zu erkennen, können Sie eine von unserem eifrigen Threat Bounty-Entwickler Osman Demir

entwickelte Community-Sigma-Regel herunterladen: https://tdm.socprime.com/tdm/info/YsgLz3RxzMT5/#sigma

Die Regel hat Übersetzungen in die folgenden Sprachen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye, Securonix

EDR: SentinelOne, Carbon Black

MITRE ATT&CK:

Taktiken: Ausführung, Verteidigungsevasion

Techniken: Kommando- und Scripting-Interpreter (T1059), Signierte Binär-Proxyausführung (T1218)

Um die vollständige Liste der Threat Detection Marketplace-Inhalte, die mit der BazarLoader-Malware verbunden sind, einzusehen, können Sie diesem Link folgen

Abonnieren Sie den Threat Detection Marketplace kostenlos und erreichen Sie die branchenführende Content-as-a-Service (CaaS)-Plattform, die den vollständigen CI/CD-Workflow für die Bedrohungserkennung unterstützt. Unsere Bibliothek aggregiert über 100.000 qualifizierte, anbieterübergreifende und werkzeugübergreifende SOC-Inhaltselemente, die direkt auf CVE und MITRE ATT&CK®-Frameworks abgebildet sind. Begeistert eigene Sigma-Regeln zu erstellen? Treten Sie unserem Threat Bounty-Programm bei und lassen Sie sich für Ihren Beitrag belohnen!

Zur Plattform gehen Threat Bounty beitreten

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Blog, Neueste Bedrohungen — 4 min zu lesen
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Veronika Telychko
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Blog, Neueste Bedrohungen — 4 min zu lesen
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Veronika Telychko
TorNet Backdoor-Erkennung: Eine laufende Phishing-E-Mail-Kampagne verwendet PureCrypter-Malware, um weitere Nutzlasten abzulegen
Blog, Neueste Bedrohungen — 5 min zu lesen
TorNet Backdoor-Erkennung: Eine laufende Phishing-E-Mail-Kampagne verwendet PureCrypter-Malware, um weitere Nutzlasten abzulegen
Veronika Telychko