BazarBackdoor، سلاح جدید گردانندگان TrickBot

گردانندگان اسب‌تروای مشهور TrickBot در حال بهره‌گیری از مجموعه بدافزاری جدیدی با عنوان BazarLoader/BazarBackdoor در حمله به اهداف خاص و بااهمیت خود هستند. در جریان این حملات در نهایت سیستم‌های سازمان به باج‌افزار مخرب Ryuk آلوده می‌شوند.

برای سال‌ها این افراد اقدام به آلوده‌سازی دستگاه‌ها و انجام امور مخربی نظیر سرقت رمزهای عبور و انواع اطلاعات حساس دیگر و توزیع آلودگی بر روی ماشین‌های دیگر با استفاده از ماژول‌های مختلف TrickBot می‌کردند.

بر اساس گزارشی که به‌تازگی ادونسد-اینتل آن را منتشر کرده گردانندگان TrickBot مدتی است که در برخی کارزارهای فیشینگ خود به استفاده از BazarLoader/BazarBackdoor روی آورده‌اند.

این مهاجمان بجای توزیع TrickBot که توسط بسیاری از راهکارها قابل شناسایی است از BazarLoader/BazarBackdoor به‌عنوان ابزاری برای آلوده‌سازی اهداف بااهمیت و باارزش خود استفاده می‌کنند.

BazarBackdoor با حداقل قابلیت‌ها امکان گسترش آلودگی‌ها را برای مهاجمان فراهم می‌کند.

نمونه‌ای از ایمیل‌های ناقل BazarLoader در تصویر زیر قابل مشاهده است.

 

 

با اجرای BazarLoader، در جریان فرایند موسوم به Process Hollowing، کد BazarBackdoor به پروسه‌های معتبر Windows نظیر cmd.exe،وexplorer.exe و svchost.exe تزریق می‌شود. یک فرمان زمانبندی‌شده (Scheduled Task) نیز برای اجرای خودکار BazarLoader در هر بار ثبت ورود (Login) کاربر به سیستم تعریف می‌شود.

 

 

در ادامه، BazarBackdoor اقدام به توزیع Cobalt Strike برای فراهم کردن دسترسی از راه دور مهاجمان به سیستم و انجام اقدامات مخربی همچون استفاده از BloodHound و Lasagne و در نتیجه دستیابی به اطلاعات اصالت‌سنجی دامنه سازمان می‌کند.

در نهایت این مهاجمان، باج‌افزار Ryuk را بر روی سیستم‌ها توزیع و از سازمان مبالغ هنگفتی را اخاذی می‌کنند.

به گزارش مهندسی شبکه گستر، BazarLoader/BazarBackdoor در حال تبدیل شدن به سلاحی مخرب و البته مؤثر در حملات هدفمند گردانندگان TrickBot است.

مشروح گزارش ادونسد-اینتل در لینک زیر قابل مطالعه است:

https://www.advanced-intel.com/post/front-door-into-bazarbackdoor-stealthy-cybercrime-weapon

توضیح اینکه کدهای مخرب اشاره شده در گزارش مذکور با نام‌های زیر قابل شناسایی است.

 

Bitdefender:

  • GenericKD.44037412
  • GenericKD.34741243
  • GenericKD.44037996
  • GenericKD.34733437
  • GenericKD.34741225
  • Gen:Variant.Razy.767614

McAfee:

  • Artemis!AB1C5D9645E0
  • Artemis!704DEA93EF12
  • Artemis!C361742189A1
  • Artemis!6DEF4F90609B
  • Artemis!1E30713681E7
  • Artemis!7AFB28BFB761

Sophos:

  • Mal/BadCert-Gen
  • Mal/Generic-S

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *