Détection du malware BazarLoader
Table des matières :
Les experts mettent en garde contre une approche inhabituelle pour infecter les cibles avec BazarLoader — une souche notoire fréquemment utilisée pour livrer des ransomwares. Le collectif de hackers, surnommé BazarCall, abuse de la fonctionnalité du centre d’appels pour tromper les victimes en téléchargeant la charge malveillante. La campagne est active depuis au moins février 2021, ajoutant continuellement de nouvelles astuces pour accroître sa notoriété.
Chaîne d’attaque BazarCall
Selon l’ enquête de Palo Alto Networks, la chaîne d’attaque commence généralement par un e-mail de phishing prétendant représenter l’équipe de support du service. L’e-mail comporte une fausse notification pour avertir la victime de la fin d’un abonnement d’essai et de la facturation à venir. Pour éviter la facturation, les victimes sont pressées d’appeler un numéro de téléphone d’un centre d’aide pour obtenir des conseils supplémentaires. Si les victimes sont trompées pour passer un appel, l’opérateur les dirige vers un faux site Web d’entreprise, leur assurant de télécharger un document Excel malveillant et d’activer les macros. En conséquence, les installations Windows sont infectées par BazarLoader. De plus, les experts en sécurité notent que le kit de test de pénétration Cobalt Strike est souvent utilisé comme malware de suivi. Les hackers de BazarCall l’utilisent pour voler les identifiants de la base de données Active Directory et effectuer des mouvements latéraux à l’intérieur du réseau compromis.
La campagne néfaste a récemment attiré l’attention de l’équipe de Microsoft Security Intelligence. Alors qu’ils observent un nombre croissant d’e-mails de phishing ciblant les utilisateurs d’Office 365, les experts de Microsoft enquêtent désormais sur l’activité malveillante de BazarCall. Pour renforcer les activités communautaires, ils ont lancé une page GitHub dédiée visant à partager les détails sur la campagne en cours.
Qu’est-ce que BazarLoader ?
BazarLoader est une souche de malware populaire fréquemment utilisée par divers acteurs de la menace pour déployer des charges utiles de seconde étape sur le réseau ciblé. Il est écrit en C++ et est actif sur le terrain malveillant depuis au moins 2020.
Le malware offre un accès de type backdoor à la machine Windows ciblée et permet aux hackers d’envoyer des souches malveillantes de suivi, d’effectuer des reconnaissances et d’exploiter d’autres dispositifs exposés dans l’environnement compromis. Auparavant, il était activement utilisé par les mainteneurs de Ruyk comme téléchargeur pour la charge utile finale du ransomware.
Récemment, les chercheurs ont observé un développement majeur des méthodes d’infection de BazarLoad. Outre une approche de faux centre d’appels, le malware a été repéré être livré via des outils de collaboration populaires comme Slack et BaseCamp. Dans tous les cas, BazarLoad utilise l’infrastructure de commande et de contrôle de Trickbot pour fonctionner. Par conséquent, les praticiens de la sécurité soupçonnent que les mainteneurs de Trickbot pourraient être derrière l’activité malveillante mentionnée.
Détection de la campagne BazarCall
Pour détecter le malware BazarLoader délivré dans le cadre de la campagne BazarCall, vous pouvez télécharger une règle Sigma communautaire développée par notre développeur Threat Bounty enthousiaste Osman Demir.
https://tdm.socprime.com/tdm/info/YsgLz3RxzMT5/#sigma
La règle a des traductions dans les langues suivantes :
SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye, Securonix
EDR : SentinelOne, Carbon Black
MITRE ATT&CK :
Tactiques : Exécution, Évasion de défense
Techniques : Interpréteur de commandes et de scripts (T1059), Exécution de proxy binaire signé (T1218)
Pour consulter la liste complète du contenu du Threat Detection Marketplace associé au malware BazarLoader, vous pouvez suivre ce lien.
Abonnez-vous au Threat Detection Marketplace gratuitement et accédez à la plateforme de Content-as-a-Service (CaaS) leader dans le secteur qui alimente un workflow CI/CD complet pour la détection des menaces. Notre bibliothèque agrège plus de 100 000 éléments de contenu SOC qualifiés, multi-fournisseurs et multi-outils, directement mappés aux cadres CVE et MITRE ATT&CK®. Enthousiaste à créer vos propres règles Sigma ? Rejoignez notre programme Threat Bounty et soyez récompensé pour votre contribution !
