Операторы банды TrickBot все чаще нацелены на особо важные цели с помощью нового скрытого трояна BazarLoader перед тем, как развернуть программу-вымогатель Ryuk.
В течение многих лет банда TrickBot использовала своего трояна для взлома корпоративных сетей, загружая различные программные модули, используемые для определенного поведения, такого как кража паролей , распространение на другие машины или даже кража базы данных Active Directory домена .
Поскольку эти модули со временем подверглись тщательному анализу, решения безопасности стали лучше обнаруживать эти модули перед использованием.
От TrickBot к BazarLoader
В апреле 2020 года мы сообщили, что банда TrickBot начала использовать новую инфекцию BazarLoader / BazarBackdoor для фишинговых атак.В новом отчете передовые исследователи безопасности Intel объясняют, что вместо того, чтобы сжигать жертв с помощью хорошо обнаруженного трояна TrickBot, злоумышленники теперь предпочитают BazarBackdoor в качестве инструмента для важных корпоративных целей.
«BazarBackdoor остается скрытым вредоносным ПО, полагающимся на минимальную функциональность, в то время как на хосте производятся важные долгосрочные заражения из-за своей простоты и зависимости от внешних операций для использования большего количества информации позже».
«Другими словами,« смешивающаяся »простота и уровень обфускации BazarBackdoor позволяют использовать полезную нагрузку в качестве лучшего выбора для особо важных целей», - сказал Кремез BleepingComputer в разговоре об их отчете.
Компрометация BazarLoader начинается с целевой фишинг-атаки, о чем свидетельствует фишинговое письмо, полученное BleepingComputer в апреле.
Фишинговая атака BazarLoader
После заражения компьютера BazarLoader будет использовать пустоту процесса для внедрения компонента BazarBackdoor в легитимные процессы Windows, такие как cmd.exe, explorer.exe и svchost.exe. Запланированная задача создается для загрузки BazarLoader каждый раз, когда пользователь входит в систему.
Запланированная задача BazarLoader
В конце концов, BazarBackdoor развернет маяк Cobalt Strike, который обеспечит удаленный доступ к злоумышленникам, которые устанавливают инструменты после эксплуатации, такие как BloodHound и Lasagne, для сопоставления домена Windows и извлечения учетных данных.
В конечном итоге атака приводит к тому, что злоумышленники развертывают программу-вымогатель Ryuk по всей сети и требуют огромного выкупа.
Схема атаки BazarBackdoor
Источник: Advanced Intel
Кремез полагает, что даже при таком увеличении использования, поскольку BazarBackdoor требует более значительного участия человека, BazarLoader будет зарезервирован для избранных целей.
«Обратной стороной охоты с помощью BazarBackdoor является то, что для предотвращения заражения требуется дорогостоящая операция по эксплуатации», - пояснил Кремез.
Что касается массового распространения, мы должны продолжать видеть использование TrickBot для взлома сети.
Перевод с английского - Google
Bleeping Computer