Get best of the week

BazarBackdoor: نقطة دخول جديدة لأنظمة المؤسسة



في منتصف مارس ، زاد عدد هجمات القوة الغاشمة على اتصالات RDP بشكل حاد . كان الغرض من هذه الهجمات هو الاستفادة من الزيادة المفاجئة في عدد العمال عن بعد والسيطرة على أجهزة الكمبيوتر الخاصة بهم.

اكتشف خبراء أمن المعلومات حملة تصيد احتيالي جديدة تروج لباب خلفي مخفي يسمى BazarBackdoor (البرامج الضارة الجديدة من مشغلي TrickBot) ، والتي يمكن استخدامها لاختراق شبكات الشركات والوصول إليها بالكامل.

كما هو الحال مع 91٪ من الهجمات السيبرانية ، يبدأ هذا الهجوم برسالة تصيد إلكترونية. يتم استخدام مواضيع مختلفة لتخصيص رسائل البريد الإلكتروني: شكاوى العملاء ، تقارير المرتبات حول موضوع الفيروس التاجي ، أو قوائم تسريح الموظفين. تحتوي جميع هذه الرسائل على روابط إلى المستندات التي تستضيفها مستندات Google. يستخدم مجرمو الإنترنت منصة Sendgrid التسويقية لإرسال رسائل بريد إلكتروني ضارة.



تستخدم هذه الحملة ما يسمى "التصيد الاحتيالي" ، مما يعني أن المجرمين بذلوا قصارى جهدهم لجعل مواقع الويب المرتبطة برسائل البريد الإلكتروني تبدو شرعية وذات صلة بموضوع رسائل البريد الإلكتروني.

المستندات الضارة


الخطوة التالية في الحملة مع BazarBackdoor هي حمل الضحية على تنزيل الوثيقة. تواجه هذه المواقع "الوهمية" مشاكل في عرض الملفات بتنسيق Word أو Excel أو PDF ، وبالتالي يُطلب من المستخدمين تنزيل مستند حتى يتمكنوا من عرضه محليًا على أجهزة الكمبيوتر الخاصة بهم.

عندما تنقر الضحية على الرابط ، يتم تنزيل ملف قابل للتنفيذ يستخدم الرمز والاسم المرتبطين بنوع المستند المعروض على موقع الويب. على سبيل المثال ، باستخدام رابط "تقرير كشوف المرتبات خلال COVID-19" ، سيتم تنزيل مستند يسمى PreviewReport.doc.exe. نظرًا لأن Windows لا يعرض ملحقات الملفات بشكل افتراضي ، سيرى معظم المستخدمين ببساطة PreviewReport.doc ويفتحون هذا الملف ، معتقدين أنه وثيقة شرعية.

مستتر مخفي


الملف القابل للتنفيذ المخفي في هذا المستند الضار هو أداة تحميل التمهيد لـ BazarBackdoor. عندما يقوم أحد المستخدمين بتشغيل مستند ضار ، يظل محمل الإقلاع مخفيًا لفترة قصيرة قبل الاتصال بخادم إدارة خارجي لتنزيل BazarBackdoor.

للحصول على عنوان خادم الإدارة ، سيستخدم BazarLoader خدمة DNS اللامركزية Emercoin للحصول على أسماء مضيف مختلفة باستخدام نطاق bazar. لا يمكن استخدام نطاق البازار إلا على خوادم Emercoin DNS ، ولأنه لامركزي ، فإنه يجعل من الصعب (إن لم يكن مستحيلاً) على وكالات إنفاذ القانون تتبع المضيف المطلوب.

أسماء المضيفين المستخدمة لخوادم الإدارة:

  • عذرًا ، بازار
  • bestgame.bazar
  • thegame.bazar
  • newgame.bazar
  • portgame.bazar

بمجرد استلام عنوان IP لخادم الإدارة ، سيتصل محمّل التمهيد أولاً بـ C2 واحد ويكمل التسجيل. وفقًا للخبراء الذين اختبروا هذا الباب الخلفي ، أرجع هذا الطلب دائمًا رمز خطأ HTTP 404.



ومع ذلك ، فإن الطلب الثاني ، C2 ، يقوم بتحميل حمولة XOR المشفرة ، وهو برنامج ضار ، BazarBbackdoor backdoor.



بعد تحميل الحمولة ، سيتم دمجها بطريقة لا تحتوي على ملفات في العملية C: \ Windows \ system32 \ svchost.exe. قال باحث السلامة فيتالي كريمز ، الذي نشر التقرير الفني ، لـ BleepingComputer أن هذا يتم باستخدام طرق تفريغ العملية وعملية Doppelgänging .



بينما يعتاد مستخدمو Windows على عمليات svchost.exe التي يتم تشغيلها في إدارة المهام ، من غير المحتمل أن تثير عملية svchost.exe الأخرى شكًا لدى معظم المستخدمين.

سيتم أيضًا تكوين المهمة المجدولة لبدء أداة تحميل التشغيل عندما يقوم المستخدم بتسجيل الدخول إلى Windows ، مما سيسمح لك بتنزيل إصدارات جديدة من الباب الخلفي بانتظام وإدخالها في عملية svchost.exe.



أفاد باحثو الأمن كريمز وجيمس في وقت لاحق أن الباب الخلفي يقوم بتنزيل وتنفيذ اختبار اختراق Cobalt Strike ومجموعة خاصة من الأدوات للعملية اللاحقة لهذا الجهاز على كمبيوتر الضحية.

Cobalt Strike هو تطبيق شرعي لأمن المعلومات يتم الترويج له على أنه "منصة نمذجة الخصم" وهو مصمم لإجراء تقييم لأمن الشبكة ضد تهديد معقد ومحاكي يحاول مهاجم الاحتفاظ به على الشبكة.

ومع ذلك ، غالبًا ما يستخدم المهاجمون إصدارات مخترقة من Cobalt Strike كجزء من مجموعة أدواتهم عند نشر التهديدات عبر الشبكة وسرقة أوراق الاعتماد ونشر البرامج الضارة.

عند تنفيذ Cobalt Strike ، من الواضح أن هذا الباب الخلفي المخفي يستخدم لتأمين المواقع في شبكات الشركة بحيث يمكن تضمين برامج الفدية أو سرقة البيانات أو بيع الوصول إلى الشبكة لمهاجمين آخرين.

أوجه التشابه بين BazarBackdoor و TrickBot


BazarBackdoor هو برنامج ضار من فئة المؤسسات. يعتقد باحثو أمن المعلومات أن هذا الباب الخلفي تم تطويره على الأرجح من قبل نفس الفريق الذي طور TrickBot Trojan: كلا البرنامجين الخبيثين لديهم أجزاء من نفس الرمز ، بالإضافة إلى نفس طرق التسليم ومبادئ العمل.

أخطار الأبواب الخلفية


في أي هجوم معقد ، سواء كان ابتزازًا أو تجسسًا صناعيًا أو استخراج بيانات الشركة ، فإن توفر هذا النوع من الوصول مهم للغاية. إذا تمكن المجرم الإلكتروني من تثبيت BazarBackdoor في نظام تكنولوجيا المعلومات للشركة ، فقد يكون هذا خطرًا خطيرًا ، وبالنظر إلى حجم رسائل البريد الإلكتروني المرسلة باستخدام هذا الباب الخلفي ، فهذا تهديد شائع.

كما رأينا ، يمكن أن يكون BazarBackdoor نقطة دخول لمجموعة واسعة من الأدوات والأدوات الإجرامية. وفي هذا الصدد، لا بد من أن المؤسسات وموثوق محمية لمنع الضرر المحتمل من التهديدات من هذا النوع.

المصدر: BleepingComputer

More articles:


All Articles