BazarLoader マルウェア検出

専門家は、BazarLoaderでターゲットを感染させるための異常な手法について警告しています。 — BazarCallと名付けられたハッカー集団は、コールセンターの機能を悪用して被害者を騙し、悪意のあるペイロードをダウンロードさせています。このキャンペーンは少なくとも2021年2月から活動しており、その悪名を高めるために新しい手口を継続的に追加しています。

BazarCall攻撃キルチェーン

によれば Palo Alto Networksによる調査、攻撃チェーンは通常、サービスサポートチームを装ったフィッシングメールから始まります。メールには、トライアルサブスクリプションの終了と今後の課金について警告する偽の通知が含まれています。被害者に課金が行われるのを防ぐために、サポートセンターの電話番号に電話するよう求められます。被害者が電話をかけると、オペレーターが偽の企業サイトに誘導し、悪意のあるExcelドキュメントをダウンロードしてマクロを有効にするようにします。その結果、BazarLoaderでWindowsインストールが感染します。また、セキュリティ専門家は、Cobalt Strikeのペンテストキットが後続のマルウェアとしてしばしば使用されることに注意しています。BazarCallハッカーは、Active Directoryデータベースの資格情報を盗んで、侵害されたネットワーク内で横方向の移動を実行するためにそれを活用します。

この悪質なキャンペーンは最近 Microsoftのセキュリティインテリジェンスチームの注目を集めました。Office 365ユーザーをターゲットにしたフィッシングメールの数の増加を観察し、Microsoftの専門家は現在、BazarCallの悪意のある活動を調査しています。コミュニティ活動を強化するために、彼らは 専用のGitHubページ を立ち上げ、現在進行中のキャンペーンの詳細を共有することを目指しています。

BazarLoaderとは何か？

BazarLoader は、さまざまな脅威役者が使用する人気のあるマルウェアで、対象ネットワークに二次的なペイロードをドロップするために頻繁に使用されます。C++で書かれており、少なくとも2020年から悪意のある領域で活動しています。

マルウェアは、ターゲットのWindowsマシンにバックドアアクセスを提供し、ハッカーが後続の悪意のあるストレインを送信し、偵察を行い、侵害された環境内の他の露出したデバイスを利用することを可能にします。以前は、 Ruykのメンテナが 最終的なランサムウェアペイロードのダウンローダーとして積極的に使用していました。

最近、研究者たちはBazarLoadの感染方法の大きな発展を観察しました。偽のコールセンターアプローチの他に、マルウェアが 人気のあるコラボレーションツール、例えばSlackやBaseCampを介して配信されているのが発見されました。 すべての場合において、BazarLoadはTrickbotのコマンド&コントロールインフラストラクチャを活用して運用されているため、セキュリティ専門家は、Trickbotのメンテナンスがこれらの悪意のある活動の背後に存在している可能性があると疑っています。

BazarCallキャンペーンの検出

BazarCallキャンペーン中に配信されるBazarLoaderマルウェアを検出するために、私たちの鋭いThreat Bountyデベロッパーである Osman Demir. 

の開発したコミュニティSigmaルールをダウンロードすることができます

ルールは以下の言語に翻訳されています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye, Securonix

EDR: SentinelOne, Carbon Black

MITRE ATT&CK: 

戦術: 実行, 防御回避

技術: コマンドとスクリプトインタープリタ (T1059), 署名されたバイナリプロキシ実行 (T1218)

BazarLoaderマルウェアに関連するThreat Detection Marketplaceのコンテンツの完全なリストを確認するには、 このリンクをたどってください. 

Threat Detection Marketplaceに無料で登録し、脅威検出用の完全なCI/CDワークフローをサポートする業界をリードするContent-as-a-Service (CaaS)プラットフォームにアクセスしてください。私たちのライブラリは、CVEおよびMITRE ATT&CK®フレームワークに直接マッピングされた100K以上の認定された、ベンダー間およびツール間SOCコンテンツアイテムを集積しています。独自のSigmaルールを作成することに意欲的ですか？Threat Bountyプログラムに参加し、あなたの貢献に対して報酬を得ましょう！

プラットフォームに移動 Threat Bountyに参加