Get best of the week

BazarBackdoor: nouveau point d'entrée pour les systèmes d'entreprise



À la mi-mars, le nombre d'attaques par force brute sur les connexions RDP a fortement augmenté . Le but de ces attaques était de profiter de l'augmentation soudaine du nombre de travailleurs à distance et de prendre le contrôle de leurs ordinateurs d'entreprise.

Les experts en sécurité de l'information ont découvert une nouvelle campagne de phishing qui promeut une porte dérobée cachée appelée BazarBackdoor (le nouveau malware des opérateurs TrickBot), qui peut être utilisé pour pirater et accéder pleinement aux réseaux d'entreprise.

Comme pour 91% des cyberattaques , cette attaque commence par un e-mail de phishing. Divers sujets sont utilisés pour personnaliser les courriels: plaintes des clients, rapports salariaux sur le sujet des coronavirus ou listes de licenciements des employés. Toutes ces lettres contiennent des liens vers des documents hébergés par Google Docs. Les cybercriminels utilisent la plateforme marketing Sendgrid pour envoyer des e-mails malveillants.



Cette campagne utilise ce que l'on appelle le «spear phishing», ce qui signifie que les criminels ont fait tout leur possible pour que les sites Web liés aux e-mails semblent légitimes et pertinents pour le sujet des e-mails.

Documents malveillants


La prochaine étape de la campagne avec BazarBackdoor est d'amener la victime à télécharger le document. Ces sites Web «factices» ont des problèmes d'affichage des fichiers au format Word, Excel ou PDF, et les utilisateurs sont donc invités à télécharger un document afin de pouvoir le visualiser localement sur leur ordinateur.

Lorsque la victime clique sur le lien, un fichier exécutable est téléchargé qui utilise l'icône et le nom associés au type de document affiché sur le site Web. Par exemple, le lien «Rapport de paie pendant COVID-19» chargera un document appelé PreviewReport.doc.exe. Étant donné que Windows n'affiche pas les extensions de fichier par défaut, la plupart des utilisateurs voient simplement PreviewReport.doc et ouvrent ce fichier, le croyant être document légitime.

Porte dérobée cachée


Le fichier exécutable caché dans ce document malveillant est le chargeur de démarrage pour BazarBackdoor. Lorsqu'un utilisateur lance un document malveillant, le chargeur de démarrage reste masqué pendant une courte période avant de se connecter à un serveur de gestion externe pour télécharger BazarBackdoor.

Pour obtenir l'adresse du serveur de gestion, BazarLoader utilisera le service DNS décentralisé Emercoin pour obtenir divers noms d'hôtes à l'aide du domaine bazar. Le domaine bazar ne peut être utilisé que sur des serveurs DNS Emercoin, et comme il est décentralisé, il est difficile (voire impossible) pour les services répressifs de suivre l'hôte requis.

Noms d'hôte utilisés pour les serveurs de gestion:

  • forgame.bazar
  • bestgame.bazar
  • thegame.bazar
  • newgame.bazar
  • portgame.bazar

Dès que l'adresse IP du serveur de gestion est reçue, le chargeur de démarrage se connecte d'abord à un C2 et termine l'enregistrement. Selon les experts qui ont testé cette porte dérobée, cette demande renvoyait toujours un code d'erreur HTTP 404. La



deuxième demande, C2, charge cependant la charge utile XOR chiffrée, qui est un programme malveillant, la porte dérobée BazarBbackdoor.



Une fois la charge utile chargée, elle sera incorporée sans fichier dans le processus C: \ Windows \ system32 \ svchost.exe. Le chercheur en sécurité Vitali Kremez , qui a publié le rapport technique , a déclaré à BleepingComputer que cela se faisait à l'aide des méthodes Process Hollowing et Process Doppelgänging .



Alors que les utilisateurs de Windows s'habituent aux processus svchost.exe exécutés dans le Gestionnaire des tâches, un autre processus svchost.exe ne suscitera probablement pas de suspicion chez la plupart des utilisateurs.

La tâche planifiée sera également configurée pour démarrer le chargeur de démarrage lorsque l'utilisateur se connectera à Windows, ce qui vous permettra de télécharger régulièrement de nouvelles versions de la porte dérobée et de les entrer dans le processus svchost.exe.



Les chercheurs en sécurité Kremez et James ont rapporté plus tard que la porte dérobée téléchargeait et exécutait un test de pénétration de Cobalt Strike et un ensemble spécial d'utilitaires pour le fonctionnement ultérieur de cette machine sur l'ordinateur de la victime.

Cobalt Strike est une application de sécurité de l'information légitime qui est promue comme une «plate-forme de modélisation adversaire» et est conçue pour effectuer une évaluation de la sécurité du réseau contre une menace complexe simulée qu'un attaquant tente de maintenir sur le réseau.

Cependant, les attaquants utilisent souvent des versions piratées de Cobalt Strike dans le cadre de leur boîte à outils lorsqu'ils propagent des menaces sur le réseau, volent des informations d'identification et déploient des logiciels malveillants.

Lors de la mise en œuvre de Cobalt Strike, il est évident que cette porte dérobée cachée est utilisée pour sécuriser les positions dans les réseaux d'entreprise afin que les ransomwares puissent être intégrés, les données volées ou l'accès au réseau vendu à d'autres attaquants.

Similitudes entre BazarBackdoor et TrickBot


BazarBackdoor est un malware de classe entreprise. Les chercheurs en sécurité de l'information pensent que cette porte dérobée a probablement été développée par la même équipe qui a développé le cheval de Troie TrickBot: les deux programmes malveillants ont des parties du même code, ainsi que les mêmes méthodes de livraison et principes de fonctionnement.

Les dangers des portes dérobées


Dans toute attaque complexe, qu'il s'agisse d'extorsion, d'espionnage industriel ou d'extraction de données d'entreprise, la disponibilité de ce type d'accès est extrêmement importante. Si un cybercriminel parvient à installer BazarBackdoor dans le système informatique de l'entreprise, cela peut être un grave danger, et compte tenu du volume d'e-mails envoyés à l'aide de cette porte dérobée, il s'agit d'une menace courante.

Comme nous l'avons vu, BazarBackdoor peut être un point d'entrée pour une large gamme d'outils et d'outils criminels. À cet égard, il est impératif que les entreprises soient bien protégées afin de prévenir les dommages potentiels causés par des menaces de ce type.

Source: BleepingComputer

More articles:


All Articles