Erkennungsinhalt: Bazar Loader

[post-views]
August 03, 2020 · 4 min zu lesen
Erkennungsinhalt: Bazar Loader

Dieser Herbst hat eine weitere Herausforderung für die Wächter der Unternehmensinfrastrukturen gebracht. Früher in diesem Jahr, Ende April, haben Entwickler von TrickBot einen neuen heimlichen Backdoor in einer Phishing-Kampagne eingesetzt, die auf professionelle Dienstleistungen, Gesundheitswesen, Fertigung, IT, Logistik und Reiseunternehmen in den Vereinigten Staaten und Europa abzielte. Viele fortgeschrittene Bedrohungsakteure, einschließlich der berüchtigten Lazarus APT, nutzen TrickBot-Dienste, und Malware-Autoren verbessern nicht nur bekannte Tools wie das Anchor Malware Framework , sondern erstellen auch neue wie Bazar Loader (auch bekannt als BazarBackdoor oder Team9 Backdoor).

Kürzlich wurde beobachtet, dass der Bazar Loader Ryuk-Ransomware an hochrangige Ziele liefert. Forscher sagen, dass die Malware auf Basis gemeldeter Antwortfälle erfolgreich ihre Ziele zu erreichen scheint, aufgrund ihrer Verschleierungs- und Tarnfähigkeiten. In ihren jüngsten Aktivitäten haben Hacker Zertifikatsignierung übernommen, was bei APT-Gruppen beliebt ist, ihre Phishing-Angriffe angepasst und ihr bösartiges Toolset erweitert. Die neuesten Angriffe zeigen, dass die Hacker wichtige Schwachstellen der Mitarbeiter von Opferunternehmen ausnutzen, um ihre Ziele zu erreichen.

Bazar Loader Malware-Zunahme

Bazar Malware ist ein bösartiger Loader, den Hacker verwenden, um infizierte Maschinen für die weitere Sammlung sensibler Daten zu infizieren. Der neue fortschrittliche Malwares-Typ erlangt auch eine Backdoor-Funktionalität zur Bereitstellung weiterer Malware. Gegner verwenden hauptsächlich Bazar Loader, um einen Fuß in kompromittierten Unternehmensnetzwerken zu fassen. Die Forscher benannten diesen Malware-Typ nach den C&C-Domains mit Top-Level-Domain .bazar. Diese TLD wird von EmerDNS bereitgestellt, einem Peer-to-Peer-dezentralisierten Domain-Namenssystem in OpenNIC, und es wird sehr schwierig sein, wenn nicht unmöglich, für Strafverfolgungen, diese Domains zu übernehmen. In frühen Versionen von BazarLoader verwendeten TrickBot-Autoren eine Handvoll festkodierter Domains wie bestgame.bazar, forgame.bazar oder newgame.bazar, aber kürzlich entdeckte Samples versuchen algorithmisch generierte Domains.

Bazar Loader und Backdoor-Fähigkeiten

Die TrickBot-Hacker haben ihr Toolset für die jüngste Kampagne verfeinert. Mit der SandGrid-E-Mail-Plattform kontaktierte sie das Personal der betroffenen Organisation mit einer Phishing-E-Mail, die wie ein offizielles Schreiben von einem Personalvertreter über die Beendigung eines Arbeitsverhältnisses aussah. Der Phishing-Anhang verleitet das Opfer dazu, dem Link zu folgen und das angehängte Google-Dokument mit Informationen über die gefälschte Kündigung zu öffnen. Das Opfer wird auf die URL umgeleitet und öffnet damit den Weg zur Bazar- oder manchmal Buer-Malware. Im nächsten Schritt wird die Bazar-Backdoor heruntergeladen.

Die Forscher der Angriffe bemerkten auch, dass die Backdoor auch das Cobalt Strike Toolkit liefert, das es den Hackern ermöglicht, die Schwächen der erlangten Unternehmensnetzwerke für ihre eigenen Vorteile zu nutzen, sowie es als Handelsartikel zu verwenden.

Die Malware zielt darauf ab, jede mögliche Entdeckung zu vermeiden und säubert sich selbst aus dem System, nachdem das Opfer erfolgreich kompromittiert wurde.

Bazar Loader Angriffserkennung

Aktive Mitglieder des SOC Prime Threat Bounty Program haben Community Sigma-Regeln zur Erkennung bösartiger Aktivitäten des Bazar Loaders veröffentlicht.

Emanuele De Lucia hat die Sigma-Regel veröffentlicht Erkennt Wizard Spider / Ryuk Ransomware-Implantate durch CnC-Beaconing

Auch Osman Demir hat veröffentlicht Ryuk und BazarBackdoor Sigma-Regeln, um den neuesten Strang des Bazar-Angriffs zu identifizieren.

Früher hat Ariel Millahuel eine neue Community-Threat-Hunting Sigma veröffentlicht, um die bösartigen Aktivitäten von Bazar Loader in Netzwerken von Organisationen zu erkennen: https://tdm.socprime.com/tdm/info/QDvyH85txiBA/4gdopHMBPeJ4_8xcJWjN/

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Taktiken: Ausführung

Techniken: Kommandozeilen-Schnittstelle (T1059)

Wir möchten auch Ihre Aufmerksamkeit auf ein paar exklusive Regeln lenken, die von dem SOC Prime Team veröffentlicht wurden, um diese Malware zu erkennen:

Team9/Bazar geplante Aufgabenname (via Audit) – https://tdm.socprime.com/tdm/info/efOdljfHf6Qk/THlyvHIBPeJ4_8xcOJZg/

Team9/Bazar Batch-Dateimuster (via cmdline) – https://tdm.socprime.com/tdm/info/51onXdAhOkLs/sE9tvHIBSh4W_EKGAAjz/


Bereit, um SOC Prime TDM auszuprobieren? Kostenlos anmelden. Oder dem Threat Bounty Program beitreten um Ihre eigenen Inhalte zu erstellen und sie mit der TDM-Community zu teilen.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Ausführungstaktik | TA0002
Blog, Neueste Bedrohungen — 6 min zu lesen
Ausführungstaktik | TA0002
Daryna Olyniychuk
PyVil RAT von Evilnum Group
Blog, Neueste Bedrohungen — 2 min zu lesen
PyVil RAT von Evilnum Group
Eugene Tkachenko
JSOutProx RAT
Blog, Neueste Bedrohungen — 2 min zu lesen
JSOutProx RAT
Eugene Tkachenko