Gizli Bazarbackdoor Malware, güvenlik yazılımı tarafından algılamayı önlemek için tipik kimlik avı e-postaları yerine web sitesi iletişim formları üzerinden yayılıyor.
Bazarbackdoor, Trickbot Grubu tarafından oluşturulan ve şimdi Conti Ransomware işlemi tarafından geliştirilen gizli bir arka kapı kötü amaçlı yazılımdır. Bu kötü amaçlı yazılım, bir ağ içindeki daha fazla yanal hareketi için bir launchpad olarak kullanılabilecek bir dahili cihaza tehdit aktörleri uzaktan erişim sağlar.
Bazarbackdoor Malware genellikle kötü amaçlı yazılımları indiren ve yükleyen kötü amaçlı belgeleri içeren kimlik avı e-postalarıyla yayılır.
Bununla birlikte, güvenli e-posta ağ geçitleri bu kötü amaçlı yazılım düşüşlerini tespit etmede daha iyi hale geldikçe, distribütörler kötü amaçlı yazılımı yaymanın yeni yollarına geçiyor.
Anormal Güvenlik ile yeni bir raporda, analistler, Aralık 2021'de başlayan yeni bir dağıtım kampanyasının, Kobalt grevi veya fidye yazılım yükleme yüklerini dağıtmanın muhtemel hedefi ile kurumbackdoor ile kurumsal mağdurları hedeflediğini açıklar.
Hedeflere kimlik avı e-postaları göndermek yerine, tehdit aktörleri ilk önce iletişimi başlatmak için kurumsal iletişim formları kullanır.
Örneğin, anormal analistler tarafından görülen durumlardan birinde, tehdit aktörleri, bir ürün tedarik teklifi için bir talepte bulunan Kanada İnşaat Şirketi'nde çalışanlar olarak görev yaptı.
Çalışan kimlik avı e-postasına cevap verdikten sonra, saldırganlar sözde müzakere ile ilgili kötü niyetli bir ISO dosyasını geri gönderir.
Bu dosyaları doğrudan imkansızdır veya güvenlik uyarılarını tetikleyeceğinden, tehdit aktörleri aşağıda gösterildiği gibi Transferow ve Wetransfer gibi dosya paylaşım hizmetlerini kullanır.
Ağustos ayında benzer bir iletişim formu istismarı olgusu olduğunu bildirdik, burada sahte DMCA ihlali bildirimlerinin temas formları aracılığıyla gönderildi.
2021 Nisan ayında, IceDid bankacılığı Truva ve Kobalt Strike Beacons'ı yaymak için temas formlarını kullanarak bir kimlik avı kampanyası hakkında bildirdik.
ISO arşivi eki, bir .lnk dosyası ve bir .log dosyası içerir. Buradaki fikir, arşivdeki yükleri paketleyerek ve kullanıcının indirmeden sonra elle çıkararak AV algılamasını kaçırmaktır.
.LNK dosyası, mevcut Windows bağlantılarını kullanarak bir terminal penceresi açan ve gerçeklik, bir Bazarbackdoor DLL dosyası olan .log dosyasını yükleyen bir komut talimatı içerir.
Backdoor yüklendiğinde, SVCHOST.EXE işlemine enjekte edilecektir ve yürütülecek komutları almak için komut ve kontrol (C2) sunucusuna başvurun.
Anormal analizin analizi sırasında çevrimdışı olan C2 IPS'nin çoğundan dolayı, araştırmacılar ikinci aşama yükünü alamadılar, bu nedenle bu kampanyanın nihai amacı bilinmemektedir.
Trickbot Kötü Amaçlı Yazılım Çalışması Kapatıldı, Devs Gecikmiş Kötü Amaçlı Yazılımlara Taşınır
Ransomware'de Hafta - 18 Şubat 2022 - Birlikler ve Satın Alma
Conti Ransomware Gang Trickbot Kötü Amaçlı Yazılım Operasyonu Devraldı
Revil Ransomware Üyesi, Kaseya Saldırısı için yargılanmak için U.
CISA, yaklaşık 100 etki alanı adıyla Conti Ransomware uyarısını güncelliyor
Kaynak: Bleeping Computer