Get best of the week

BazarBackdoor: Neuer Einstiegspunkt in Unternehmenssysteme



Mitte März nahm die Zahl der Brute-Force-Angriffe auf RDP-Verbindungen stark zu . Der Zweck dieser Angriffe bestand darin, die plötzliche Zunahme der Anzahl der Remote-Mitarbeiter auszunutzen und die Kontrolle über ihre Unternehmenscomputer zu erlangen.

Experten für Informationssicherheit haben eine neue Phishing-Kampagne entdeckt , die eine versteckte Hintertür namens BazarBackdoor (die neue Malware von TrickBot-Betreibern) bewirbt, mit der gehackt und uneingeschränkter Zugriff auf Unternehmensnetzwerke erhalten werden kann.

Wie bei 91% der Cyber-Angriffe beginnt dieser Angriff mit einer Phishing-E-Mail. Zur Personalisierung von E-Mails werden verschiedene Themen verwendet: Kundenbeschwerden, Gehaltsberichte zum Thema Coronavirus oder Entlassungslisten für Mitarbeiter. Alle diese Briefe enthalten Links zu Dokumenten, die von Google Text & Tabellen gehostet werden. Cyberkriminelle verwenden die Sendgrid-Marketingplattform, um schädliche E-Mails zu versenden.



Diese Kampagne verwendet das sogenannte "Spear Phishing", was bedeutet, dass die Kriminellen alle Anstrengungen unternommen haben, um die in E-Mails verlinkten Websites als legitim und relevant für den Betreff von E-Mails erscheinen zu lassen.

Schädliche Dokumente


Der nächste Schritt in der Kampagne mit BazarBackdoor besteht darin, das Opfer zum Herunterladen des Dokuments zu bewegen. Diese "Dummy" -Websites haben Probleme beim Anzeigen von Dateien im Word-, Excel- oder PDF-Format. Aus diesem Grund werden Benutzer aufgefordert, ein Dokument herunterzuladen, damit sie es lokal auf ihrem Computer anzeigen können.

Wenn das Opfer auf den Link klickt, wird eine ausführbare Datei heruntergeladen, die das Symbol und den Namen verwendet, die dem auf der Website angezeigten Dokumenttyp zugeordnet sind. Über den Link "Abrechnungsbericht während COVID-19" wird beispielsweise ein Dokument mit dem Namen "PreviewReport.doc.exe" geladen. Da Windows standardmäßig keine Dateierweiterungen anzeigt, sehen die meisten Benutzer einfach "PreviewReport.doc" und öffnen diese Datei legitimes Dokument.

Versteckte Hintertür


Die ausführbare Datei, die in diesem schädlichen Dokument versteckt ist, ist der Bootloader für BazarBackdoor. Wenn ein Benutzer ein schädliches Dokument startet, bleibt der Bootloader für kurze Zeit verborgen, bevor er eine Verbindung zu einem externen Verwaltungsserver herstellt, um BazarBackdoor herunterzuladen.

Um die Adresse des Verwaltungsservers zu erhalten, verwendet BazarLoader den dezentralen DNS-Dienst Emercoin , um verschiedene Hostnamen über die Bazar-Domäne abzurufen . Die Basardomäne kann nur auf Emercoin-DNS-Servern verwendet werden. Da sie dezentralisiert ist, ist es für Strafverfolgungsbehörden schwierig (wenn nicht unmöglich), den erforderlichen Host zu verfolgen.

Für Verwaltungsserver verwendete Hostnamen:

  • Forgame.Bazar
  • bestgame.bazar
  • thegame.bazar
  • newgame.bazar
  • portgame.bazar

Sobald die IP-Adresse des Verwaltungsservers empfangen wurde, stellt der Bootloader zunächst eine Verbindung zu einem C2 her und schließt die Registrierung ab. Laut Experten, die diese Hintertür getestet haben, hat diese Anforderung immer einen HTTP 404-Fehlercode zurückgegeben. Die



zweite Anforderung, C2, lädt jedoch die verschlüsselte XOR-Nutzlast, bei der es sich um ein Schadprogramm handelt, die BazarBbackdoor-Hintertür.



Nachdem die Nutzdaten geladen wurden, werden sie dateifrei in den Prozess C: \ Windows \ system32 \ svchost.exe eingebettet. Der Sicherheitsforscher Vitali Kremez , der den technischen Bericht veröffentlichte , erklärte gegenüber BleepingComputer, dass dies mit den Methoden Process Hollowing und Process Doppelgängering erfolgt .



Da sich Windows-Benutzer an die im Task-Manager ausgeführten Prozesse svchost.exe gewöhnen, ist es unwahrscheinlich, dass ein anderer Prozess svchost.exe bei den meisten Benutzern Verdacht erregt.

Die geplante Aufgabe wird auch so konfiguriert, dass der Bootloader gestartet wird, wenn sich der Benutzer bei Windows anmeldet. Auf diese Weise können Sie regelmäßig neue Versionen der Hintertür herunterladen und in den Prozess svchost.exe eingeben.



Die Sicherheitsforscher Kremez und James berichteten später, dass die Hintertür einen Cobalt Strike-Penetrationstest und eine Reihe spezieller Dienstprogramme für den anschließenden Betrieb dieser Maschine auf dem Computer des Opfers herunterlädt und ausführt.

Cobalt Strike ist eine legitime Informationssicherheitsanwendung, die als „Plattform für die Modellierung von Gegnern“ beworben wird und eine Netzwerksicherheitsbewertung gegen eine simulierte komplexe Bedrohung durchführen soll, die ein Angreifer im Netzwerk zu halten versucht.

Angreifer verwenden jedoch häufig gehackte Versionen von Cobalt Strike als Teil ihres Toolkits, wenn sie Bedrohungen über das Netzwerk verbreiten, Anmeldeinformationen stehlen und Malware bereitstellen.

Bei der Implementierung von Cobalt Strike wird diese versteckte Hintertür offensichtlich verwendet, um Positionen in Unternehmensnetzwerken zu sichern, sodass Ransomware eingebettet, Daten gestohlen oder der Netzwerkzugriff an andere Angreifer verkauft werden kann.

Ähnlichkeiten zwischen BazarBackdoor und TrickBot


BazarBackdoor ist eine Malware der Enterprise-Klasse. Forscher für Informationssicherheit glauben, dass diese Hintertür höchstwahrscheinlich von demselben Team entwickelt wurde, das den TrickBot-Trojaner entwickelt hat: Beide Schadprogramme enthalten Teile desselben Codes sowie dieselben Übermittlungsmethoden und Arbeitsprinzipien.

Die Gefahren von Hintertüren


Bei komplexen Angriffen, sei es Erpressung, Industriespionage oder Extraktion von Unternehmensdaten, ist die Verfügbarkeit dieser Art von Zugriff äußerst wichtig. Wenn es einem Cyberkriminellen gelingt, BazarBackdoor im IT-System des Unternehmens zu installieren, kann dies eine ernsthafte Gefahr darstellen. Angesichts der Menge an E-Mails, die über diese Hintertür gesendet werden, ist dies eine häufige Bedrohung.

Wie wir gesehen haben, kann BazarBackdoor ein Einstiegspunkt für eine Vielzahl von kriminellen Tools und Tools sein. In diesem Zusammenhang ist es unbedingt erforderlich, dass Unternehmen zuverlässig geschützt werden, um potenzielle Schäden durch Bedrohungen dieser Art zu vermeiden.

Quelle: BleepingComputer

More articles:


All Articles