Contenido de Detección: Bazar Loader

[post-views]
agosto 03, 2020 · 4 min de lectura
Contenido de Detección: Bazar Loader

Este otoño ha traído otro desafío para los guardianes de las infraestructuras corporativas. A principios de este año, a finales de abril, los desarrolladores de TrickBot usaron un nuevo backdoor sigiloso en una campaña de phishing dirigida a servicios profesionales, salud, manufactura, TI, logística y empresas de viajes en los Estados Unidos y Europa. Muchos actores avanzados de amenazas, incluido el infame APT Lazarus, utilizan los servicios de TrickBot, y los autores de malware no solo mejoran herramientas conocidas como el marco de malware Anchor sino que también crean nuevas como Bazar Loader (también conocido como BazarBackdoor o Team9 Backdoor).

Recientemente, se observó que Bazar loader entregaba el ransomware Ryuk a objetivos de alto valor. Los investigadores dicen que basándose en casos reportados, el malware logra sus objetivos debido a sus capacidades de sigilo y ofuscación. En sus actividades recientes, los hackers adoptaron la firma de certificados popular entre los grupos APT, ajustaron sus ataques de phishing y ampliaron su kit de herramientas maliciosas. Los últimos ataques muestran que los hackers aprovechan los puntos críticos vitales de los empleados de las empresas víctimas para lograr sus objetivos.

Aumento del malware Bazar loader

El malware Bazar es un cargador malicioso que los hackers utilizan para infectar máquinas victimizadas y recolectar datos sensibles. La nueva cepa avanzada de malware también obtiene una funcionalidad de backdoor para entregar otro malware. Los adversarios principalmente utilizan Bazar Loader para obtener un punto de apoyo en redes empresariales comprometidas. Los investigadores nombraron a esta cepa de malware en honor a los dominios C&C con el dominio de nivel superior .bazar. Este TLD es proporcionado por EmerDNS, un sistema de nombres de dominio descentralizado peer-to-peer en OpenNIC, y será muy difícil, si no imposible, para las fuerzas del orden tomar el control de estos dominios. En las primeras versiones de BazarLoader, los autores de TrickBot utilizaron un puñado de dominios codificados como bestgame.bazar, forgame.bazar o newgame.bazar, pero las muestras recientemente descubiertas prueban dominios generados algorítmicamente.

Capacidades de Bazar Loader y Backdoor

Los hackers de TrickBot han refinado su conjunto de herramientas para la campaña reciente. Utilizando la plataforma de correo electrónico SandGrid, contactaron al personal de la organización victimizada con un correo de phishing que parecía una carta oficial de un representante de Recursos Humanos sobre la terminación de empleo. El adjunto de phishing atrae a la víctima a seguir el enlace y abrir el documento de Google adjunto con información sobre un despido falso. La víctima es redirigida al URL y así se abre el camino al malware Bazar o a veces Buer. Como siguiente paso, se descarga el backdoor de Bazar.

Los investigadores de ataques también notaron el hecho de que el backdoor también entrega el conjunto de herramientas Cobalt Strike, que permite a los hackers utilizar las debilidades de las redes corporativas obtenidas para sus propias ventajas, así como usarlo como un artículo de comercio.

El malware tiene como objetivo evitar cualquier posible detección y se limpia a sí mismo del sistema después de comprometer con éxito a la víctima.

Detección de ataques de Bazar Loader

Miembros activos del Programa de Recompensas de Amenazas de SOC Prime publicaron reglas Sigma comunitarias para detectar actividades maliciosas de Bazar loader.

Emanuele De Lucia lanzó la regla Sigma Detecta implantes de Wizard Spider / ransomware Ryuk a través de señalización CnC

Además, Osman Demir publicó regla Sigma para identificar la última cepa del ataque Bazar. Sigma para detectar la actividad maliciosa de Bazar Loader en las redes de las organizaciones:

Earlier, Ariel Millahuel released new community threat hunting Sigma to detect the malicious activity of Bazar Loader in organizations’ networks: https://tdm.socprime.com/tdm/info/QDvyH85txiBA/4gdopHMBPeJ4_8xcJWjN/

The rule has translations for the following platforms:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Ejecución

Técnicas: Interfaz de Línea de Comandos (T1059)

También queremos llamar la atención sobre un par de reglas exclusivas lanzadas por el equipo de SOC Prime para detectar este malware:

Nombre de tarea programada Team9/Bazar (mediante auditoría) – https://tdm.socprime.com/tdm/info/efOdljfHf6Qk/THlyvHIBPeJ4_8xcOJZg/

Patrón de nombre de archivo por lotes de Team9/Bazar (vía cmdline) – https://tdm.socprime.com/tdm/info/51onXdAhOkLs/sE9tvHIBSh4W_EKGAAjz/


¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa de Recompensas de Amenazas para crear tu propio contenido y compartirlo con la comunidad de TDM.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Táctica de Ejecución | TA0002
Blog, Últimas Amenazas — 6 min de lectura
Táctica de Ejecución | TA0002
Daryna Olyniychuk
PyVil RAT por el grupo Evilnum
Blog, Últimas Amenazas — 2 min de lectura
PyVil RAT por el grupo Evilnum
Eugene Tkachenko
JSOutProx RAT
Blog, Últimas Amenazas — 2 min de lectura
JSOutProx RAT
Eugene Tkachenko