Conteúdo de Detecção: Bazar Loader

[post-views]
Agosto 03, 2020 · 5 min de leitura
Conteúdo de Detecção: Bazar Loader

Este outono trouxe outro desafio para os guardiões das infraestruturas corporativas. No início deste ano, no final de abril, desenvolvedores do TrickBot usaram uma nova backdoor furtiva em uma campanha de phishing direcionada a serviços profissionais, saúde, manufatura, TI, logística e empresas de viagens nos Estados Unidos e Europa. Muitos atores de ameaças avançadas, incluindo o infame Lazarus APT, utilizam os serviços do TrickBot, e os autores de malware não apenas melhoram ferramentas bem conhecidas como o framework de malware Anchor mas também criam novas como o Bazar Loader (também conhecido como BazarBackdoor ou Team9 Backdoor).

Recentemente, foi observado que o Bazar Loader entregava o ransomware Ryuk a alvos de alto valor. Pesquisadores dizem que, com base em casos de resposta relatados, o malware atinge seus objetivos com sucesso devido à sua furtividade e capacidades de ofuscação. Em suas atividades recentes, hackers adotaram assinatura de certificados, que é popular entre grupos APT, ajustaram seus ataques de phishing e expandiram seu kit de ferramentas maliciosas. Os ataques mais recentes mostram que os hackers aproveitam pontos de dor vitais dos funcionários das empresas vítimas para alcançar seus objetivos.

Aumento do malware Bazar Loader

Bazar malware é um carregador malicioso que hackers usam para infectar máquinas vítimas e assim coletar dados sensíveis. A nova cepa avançada de malware também obtém uma funcionalidade de backdoor para entregar outro malware. Adversários usam principalmente o Bazar Loader para ganhar um ponto de acesso em redes empresariais comprometidas. Os pesquisadores nomearam essa cepa de malware a partir dos domínios C&C com domínio de topo .bazar. Este TLD é fornecido pelo EmerDNS, um sistema de nominação de domínio descentralizado peer-to-peer no OpenNIC, e será muito difícil, senão impossível, para a aplicação da lei tomar posse desses domínios. Nas primeiras versões do BazarLoader, os autores do TrickBot usaram um punhado de domínios codificados como bestgame.bazar, forgame.bazar ou newgame.bazar, mas amostras descobertas recentemente tentam domínios gerados por algoritmo.

Capacidades do Bazar Loader e Backdoor

Os hackers do TrickBot refinaram seu conjunto de ferramentas para a campanha recente. Usando a plataforma de e-mail SandGrid, eles alcançaram o pessoal da organização vítima com um e-mail de phishing que parecia uma carta oficial de um representante de Recursos Humanos sobre a rescisão de emprego. O anexo de phishing atrai a vítima a seguir o link e abrir o documento do Google anexado com informações sobre a demissão falsa. A vítima é redirecionada para o URL e, assim, abre o caminho para o malware Bazar ou, às vezes, Buer. Como passo seguinte, a backdoor Bazar é baixada.

Os pesquisadores do ataque também notaram o fato de que a backdoor também entrega o kit de ferramentas Cobalt Strike, que permite aos hackers utilizarem as fraquezas das redes corporativas obtidas para suas próprias vantagens, bem como usá-lo como um artigo de comércio.

O malware visa evitar qualquer possível detecção e se limpa do sistema após comprometer com sucesso a vítima.

Detecção do ataque Bazar Loader

Membros ativos do Programa de Recompensas de Ameaças do SOC Prime publicaram regras Sigma comunitárias para detectar atividades maliciosas do carregador Bazar.

Emanuele De Lucia lançou uma regra Sigma Detecta implantes de ransomware Wizard Spider / Ryuk através de beaconing CnC

Além disso, Osman Demir publicou Uma regra Sigma para identificar a última cepa de ataque Bazar. Anteriormente, Ariel Millahuel lançou um novo Sigma de caça às ameaças comunitárias para detectar a atividade maliciosa do Bazar Loader nas redes das organizações:

Earlier, Ariel Millahuel released new community threat hunting Sigma to detect the malicious activity of Bazar Loader in organizations’ networks: https://tdm.socprime.com/tdm/info/QDvyH85txiBA/4gdopHMBPeJ4_8xcJWjN/

A regra possui traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Execução

Técnicas: Interface de Linha de Comando (T1059)

Também queremos chamar sua atenção para algumas regras exclusivas lançadas pela Equipe SOC Prime para detectar esse malware:

Nome da tarefa agendada Team9/Bazar (via auditoria) – https://tdm.socprime.com/tdm/info/efOdljfHf6Qk/THlyvHIBPeJ4_8xcOJZg/

Padrão de nome de arquivo em lote Team9/Bazar (via cmdline) – https://tdm.socprime.com/tdm/info/51onXdAhOkLs/sE9tvHIBSh4W_EKGAAjz/


Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou participe do Programa de Recompensas de Ameaças para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Tática de Execução | TA0002
Ameaças Mais Recentes, Blog — 7 min de leitura
Tática de Execução | TA0002
Daryna Olyniychuk
PyVil RAT pelo Grupo Evilnum
Ameaças Mais Recentes, Blog — 2 min de leitura
PyVil RAT pelo Grupo Evilnum
Eugene Tkachenko
JSOutProx RAT
Ameaças Mais Recentes, Blog — 3 min de leitura
JSOutProx RAT
Eugene Tkachenko