Contenu de Détection : Bazar Loader

[post-views]
août 03, 2020 · 5 min de lecture
Contenu de Détection : Bazar Loader

Cet automne a apporté un nouveau défi aux gardiens des infrastructures d’entreprise. Plus tôt cette année, à la fin avril, les développeurs de TrickBot ont utilisé une nouvelle porte dérobée furtive dans une campagne de phishing ciblant les services professionnels, la santé, la fabrication, l’informatique, la logistique et les entreprises de voyage à travers les États-Unis et l’Europe. De nombreux acteurs de la menace avancée, y compris le tristement célèbre APT Lazarus, utilisent les services de TrickBot, et les auteurs de logiciels malveillants améliorent non seulement des outils bien connus comme le cadre de malware Anchor mais créent également de nouveaux outils tels que Bazar Loader (alias BazarBackdoor ou Team9 Backdoor).

Récemment, le chargeur Bazar a été observé livrant le ransomware Ryuk à des cibles de haute valeur. Les chercheurs disent que, sur la base des cas de réponse signalés, le malware atteint avec succès ses objectifs grâce à sa furtivité et ses capacités d’obfuscation. Dans leurs récentes activités, les hackers ont adopté la signature de certificats, populaire auprès des groupes APT, ajusté leurs attaques de phishing et étendu leur boîte à outils malveillante. Les dernières attaques montrent que les hackers exploitent des points de douleur vitaux des employés des entreprises victimes pour atteindre leurs objectifs.

Augmentation du malware Bazar loader

Le malware Bazar est un chargeur malveillant que les hackers utilisent pour infecter les machines des victimes et collecter des données sensibles. La nouvelle souche de malware avancée obtient également une fonctionnalité de porte dérobée pour livrer un autre malware. Les adversaires utilisent principalement Bazar Loader pour établir un point d’ancrage dans les réseaux d’entreprise compromis. Les chercheurs ont nommé cette souche de malware d’après les domaines C&C avec le domaine de premier niveau .bazar. Ce TLD est fourni par EmerDNS, un système de noms de domaine décentralisé en peer-to-peer sur OpenNIC, et il sera très difficile, sinon impossible, pour les forces de l’ordre de prendre le contrôle de ces domaines. Dans les premières versions de BazarLoader, les auteurs de TrickBot utilisaient une poignée de domaines codés en dur tels que bestgame.bazar, forgame.bazar ou newgame.bazar, mais l’échantillon récemment découvert tente des domaines générés de manière algorithmique.

Bazar Loader et capacités de porte dérobée

Les hackers de TrickBot ont affiné leur ensemble d’outils pour la récente campagne. En utilisant la plateforme email SandGrid, ils ont contacté le personnel de l’organisation victimisée avec un email de phishing qui ressemblait à une lettre officielle d’un représentant des Ressources Humaines concernant la fin d’emploi. La pièce jointe de phishing incite une victime à suivre le lien et à ouvrir le document Google joint avec des informations sur un faux licenciement. La victime est redirigée vers l’URL ouvrant ainsi la voie au malware Bazar ou parfois Buer. Comme étape suivante, la porte dérobée Bazar est téléchargée.

Les chercheurs d’attaques ont également remarqué que la porte dérobée livre également l’outil Cobalt Strike, qui permet aux hackers d’exploiter les faiblesses des réseaux d’entreprise obtenus pour leurs propres avantages, ainsi que de l’utiliser comme un article de commerce.

Le malware vise à éviter toute détection possible et se nettoie du système après avoir compromis avec succès la victime.

Détection des attaques du Bazar Loader

Les membres actifs du programme SOC Prime Threat Bounty ont publié des règles Sigma communautaires pour détecter les activités malveillantes du Bazar loader.

Emanuele De Lucia a publié une règle Sigma Détecte les implants ransomware Wizard Spider / Ryuk par le biais du beaconing CnC

De plus, Osman Demir a publié Ryuk et BazarBackdoor Règle Sigma pour repérer la dernière souche d’attaque Bazar.

Auparavant, Ariel Millahuel a publié une nouvelle chasse aux menaces communautaire Sigma pour détecter l’activité malveillante de Bazar Loader dans les réseaux des organisations : https://tdm.socprime.com/tdm/info/QDvyH85txiBA/4gdopHMBPeJ4_8xcJWjN/

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR : Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK :

Tactiques : Exécution

Techniques : Interface en ligne de commande (T1059)

Nous souhaitons également attirer votre attention sur quelques règles exclusives publiées par l’équipe SOC Prime pour détecter ce malware :

Nom de tâche planifiée Team9/Bazar (via audit) – https://tdm.socprime.com/tdm/info/efOdljfHf6Qk/THlyvHIBPeJ4_8xcOJZg/

Motif de nom de fichier batch Team9/Bazar (via cmdline) – https://tdm.socprime.com/tdm/info/51onXdAhOkLs/sE9tvHIBSh4W_EKGAAjz/


Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Tactique d’Exécution | TA0002
Blog, Dernières Menaces — 7 min de lecture
Tactique d’Exécution | TA0002
Daryna Olyniychuk
PyVil RAT par le groupe Evilnum
Blog, Dernières Menaces — 2 min de lecture
PyVil RAT par le groupe Evilnum
Eugene Tkachenko
JSOutProx RAT
Blog, Dernières Menaces — 3 min de lecture
JSOutProx RAT
Eugene Tkachenko