Contenuto di Rilevamento: Bazar Loader
Indice:
Questo autunno ha portato un’altra sfida ai custodi delle infrastrutture aziendali. All’inizio di quest’anno, a fine aprile, gli sviluppatori di TrickBot hanno utilizzato una nuova backdoor furtiva in una campagna di phishing mirata a servizi professionali, sanità, manifatturiero, IT, logistica e aziende di viaggio negli Stati Uniti e in Europa. Molti attori di minacce avanzate, incluso il famigerato Lazarus APT, usano i servizi di TrickBot, e gli autori di malware non solo migliorano strumenti noti come il framework malware Anchor ma ne creano anche di nuovi come Bazar Loader (alias BazarBackdoor o Team9 Backdoor).
Recentemente, il Bazar loader è stato notato per distribuire il ransomware Ryuk a obiettivi di alto valore. I ricercatori affermano che, basandosi sui casi di risposta riportati, il malware raggiunge con successo i suoi obiettivi grazie alla sua furtività e capacità di offuscamento. Nelle loro recenti attività, gli hacker hanno adottato la firma dei certificati, popolare tra i gruppi APT, hanno adattato i loro attacchi di phishing e hanno esteso il loro toolkit malevolo. Gli attacchi più recenti mostrano che gli hacker sfruttano punti dolenti vitali degli impiegati delle aziende vittime per raggiungere i loro obiettivi.
Aumento del malware Bazar loader
Il malware Bazar è un loader malevolo che gli hacker usano per infettare le macchine vittimizzate per raccogliere ulteriori dati sensibili. Il nuovo ceppo avanzato di malware ottiene anche una funzionalità di backdoor per consegnare un altro malware. Gli avversari usano principalmente Bazar Loader per acquisire un punto d’appoggio nelle reti aziendali compromesse. I ricercatori hanno chiamato questo ceppo di malware dai domini C&C con dominio di primo livello .bazar. Questo TLD è fornito da EmerDNS, un sistema di nomi di dominio decentralizzato peer-to-peer in OpenNIC, e sarà molto difficile, se non impossibile, per le forze dell’ordine prendere il controllo di questi domini. Nelle prime versioni di BazarLoader gli autori di TrickBot usavano una manciata di domini codificati come bestgame.bazar, forgame.bazar o newgame.bazar, ma i campioni recentemente scoperti cercano domini generati algoritmicamente.
Capacità di Bazar Loader e Backdoor
Gli hacker di TrickBot hanno perfezionato il loro set di strumenti per la campagna recente. Usando la piattaforma email SandGrid, hanno contattato il personale dell’organizzazione vittimizzata con un’email di phishing che sembrava una lettera ufficiale da un rappresentante delle Risorse Umane riguardo alla cessazione dell’impiego. L’allegato di phishing invita la vittima a seguire il link e aprire il documento Google allegato con informazioni sul falso licenziamento. La vittima viene reindirizzata all’URL, aprendo così la strada al malware Bazar o talvolta Buer. Come passaggio successivo, viene scaricata la backdoor Bazar.
I ricercatori sugli attacchi hanno notato anche che la backdoor consegna anche il toolkit Cobalt Strike, che consente agli hacker di sfruttare le debolezze delle reti aziendali ottenute a proprio vantaggio, oltre ad utilizzarlo come articolo di commercio.
Il malware mira a evitare qualsiasi possibile rilevamento e si cancella dal sistema dopo aver compromesso con successo la vittima.
Rilevamento attacco Bazar Loader
Membri attivi del Programma di Ricompensa di Minacce di SOC Prime hanno pubblicato regole Sigma comunitarie per il rilevamento di attività malevole del Bazar loader.
Emanuele De Lucia ha rilasciato la regola Sigma Rileva impianti di ransomware Wizard Spider / Ryuk attraverso il beaconing CnC
Inoltre, Osman Demir ha pubblicato Ryuk e BazarBackdoor regola Sigma per individuare l’ultima variante dell’attacco Bazar.
In precedenza, Ariel Millahuel ha rilasciato una nuova minaccia comunitaria di caccia Sigma per rilevare l’attività malevola di Bazar Loader nelle reti delle organizzazioni: https://tdm.socprime.com/tdm/info/QDvyH85txiBA/4gdopHMBPeJ4_8xcJWjN/
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tattiche: Esecuzione
Tecniche: Interfaccia da Linea di Comando (T1059)
Vogliamo anche attirare la vostra attenzione su un paio di regole esclusive rilasciate dal Team SOC Prime per rilevare questo malware:
Nome attività pianificata Team9/Bazar (tramite audit) – https://tdm.socprime.com/tdm/info/efOdljfHf6Qk/THlyvHIBPeJ4_8xcOJZg/
Modello nome file batch Team9/Bazar (tramite cmdline) – https://tdm.socprime.com/tdm/info/51onXdAhOkLs/sE9tvHIBSh4W_EKGAAjz/
Pronto per provare SOC Prime TDM? Iscriviti gratuitamente. Oppure unisciti al Programma di Ricompensa di Minacce per creare il tuo contenuto e condividerlo con la comunità TDM.