検出コンテンツ:バザー・ローダー

[post-views]
8月 03, 2020 · 7 分で読めます
検出コンテンツ:バザー・ローダー

この秋、企業のインフラストラクチャの守護者に新たな課題がもたらされました。今年初めの4月下旬、 TrickBot の開発者は、アメリカとヨーロッパのプロフェッショナルサービス、ヘルスケア、製造、IT、物流、旅行会社を対象にしたフィッシングキャンペーンで新しいステルスバックドアを使用しました。悪名高いLazarus APTを含む多くの高度な脅威アクターはTrickBotのサービスを利用しており、マルウェアの作成者は、 Anchorマルウェアフレームワーク などの既知のツールを改善するだけでなく、Bazar Loader(別名BazarBackdoorまたはTeam9 Backdoor)という新しいツールも作成しました。

最近、Bazar Loaderが高価値標的にRyukランサムウェアを配信するのが確認されました。研究者は、報告された対応事例に基づいて、このマルウェアがその目標を達成するのはステルス性と難読化の能力によるものであると述べています。最近の活動で、ハッカーはAPTグループで人気のある証明書署名を採用し、フィッシング攻撃を調整し、悪質なツールキットを拡張しました。最新の攻撃は、ハッカーが被害企業の従業員の重要な痛点を利用して目標を達成することを示しています。

Bazar Loaderマルウェアの増加

Bazarマルウェアは、ハッカーが被害者マシンに感染させてさらなる機密データを収集するために使用する悪質なローダーです。この新たな高度なマルウェア株は、他のマルウェアを配信するためのバックドア機能も有しています。敵対する者たちは主にBazar Loaderを使って侵害された企業ネットワークで足場を築きます。研究者はこのマルウェア株を、トップレベルドメイン.bazarのC&Cドメインにちなんで命名しました。このTLDはOpenNICの分散型ピアツーピアドメイン名システムであるEmerDNSによって提供されており、法執行機関がこれらのドメインを管理するのは非常に難しく、もしできるとしても困難です。BazarLoaderの初期バージョンでは、TrickBotの作成者はbestgame.bazar、forgame.bazar、newgame.bazarなどの少数のハードコードされたドメインを使用しましたが、最近発見されたサンプルはアルゴリズムで生成されたドメインを試しています。

Bazar Loaderとバックドアの能力

TrickBotのハッカーは最近のキャンペーンのためにツールセットを洗練しました。SandGridメールプラットフォームを使用して、被害を受けた組織の職員に人事担当者からの公式文書のようなフィッシングメールを送りました。このメールのフィッシング添付ファイルは被害者を引き寄せ、リンクをクリックして偽の解雇情報を含む添付のGoogleドキュメントを開かせます。これにより被害者はURLにリダイレクトされ、Bazarまたは時にはBuerマルウェアへとアクセスを開くことになります。次のステップとして、Bazarバックドアがダウンロードされます。

攻撃の研究者たちは、バックドアがCobalt Strikeツールキットも配信することにも注目しました。これによりハッカーは取得した企業ネットワークの弱点を自身の利益に活用し、またそれを商品として使用します。

このマルウェアは可能な限りの検出を回避し、被害者を成功裏に侵害した後、システムから自らをクリーンアップします。

Bazar Loader攻撃の検出

SOC Prime Threat Bounty ProgramのアクティブメンバーはBazar loaderの悪質な活動を検出するためのCommunity Sigmaルールを公開しました。

Emanuele De LuciaはSigmaルールを公開しました Wizard Spider / RyukランサムウェアのインプラントをCnCビーコニングを通じて検出する

また、Osman Demirは RyukおよびBazarBackdoor 最新のBazar攻撃株を見つけるためのSigmaルールを公開しました。

以前、Ariel Millahuelは組織のネットワークにおけるBazar Loaderの悪意ある活動を検出するための新しいコミュニティ脅威ハンティングSigmaを公開しました: https://tdm.socprime.com/tdm/info/QDvyH85txiBA/4gdopHMBPeJ4_8xcJWjN/

このルールには以下のプラットフォーム向けの翻訳があります:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

戦術: 実行

技術: コマンドラインインタフェース (T1059)

このマルウェアを検出するためのSOC Primeチームによってリリースされた独自のルールにも注目してください:

Team9/Bazarスケジュールされたタスク名 (アudit経由) – https://tdm.socprime.com/tdm/info/efOdljfHf6Qk/THlyvHIBPeJ4_8xcOJZg/

Team9/Bazarバッチファイル名パターン (cmdline経由) – https://tdm.socprime.com/tdm/info/51onXdAhOkLs/sE9tvHIBSh4W_EKGAAjz/


SOC Prime TDMを試してみますか? 無料で登録。または Threat Bounty Programに参加 して、ご自身のコンテンツを作成しTDMコミュニティと共有してください。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

関連記事

実行戦術 | TA0002
ブログ, 最新の脅威 — 11 分で読めます
実行戦術 | TA0002
Daryna Olyniychuk
EvilnumグループによるPyVil RAT
ブログ, 最新の脅威 — 3 分で読めます
EvilnumグループによるPyVil RAT
Eugene Tkachenko
JSOutProx RAT
ブログ, 最新の脅威 — 4 分で読めます
JSOutProx RAT
Eugene Tkachenko