Get best of the week

BazarBackdoor: Titik Masuk Baru ke Sistem Perusahaan



Pada pertengahan Maret, jumlah serangan brute force pada koneksi RDP meningkat tajam . Tujuan dari serangan ini adalah untuk mengambil keuntungan dari peningkatan mendadak jumlah pekerja jarak jauh dan mendapatkan kendali atas komputer perusahaan mereka.

Para pakar keamanan informasi telah menemukan kampanye phishing baru yang mempromosikan backdoor tersembunyi yang disebut BazarBackdoor (malware baru dari operator TrickBot), yang dapat digunakan untuk meretas dan mendapatkan akses penuh ke jaringan perusahaan.

Seperti dengan 91% dari serangan dunia maya , serangan ini dimulai dengan email phising. Berbagai topik digunakan untuk mempersonalisasi email: keluhan pelanggan, laporan gaji pada topik coronavirus, atau daftar PHK karyawan. Semua surat ini berisi tautan ke dokumen yang diinangi oleh Google Documents. Penjahat dunia maya menggunakan platform pemasaran Sendgrid untuk mengirim email jahat.



Kampanye ini menggunakan apa yang disebut "phishing tombak", yang berarti bahwa para penjahat telah melakukan segala upaya untuk membuat situs web yang tertaut dalam email tampak sah dan relevan dengan subjek email.

Dokumen Berbahaya


Langkah selanjutnya dalam kampanye dengan BazarBackdoor adalah membuat korban mengunduh dokumen. Situs web "dummy" ini memiliki masalah dalam menampilkan file dalam format Word, Excel atau PDF, dan oleh karena itu pengguna diminta untuk mengunduh dokumen sehingga mereka dapat melihatnya secara lokal di komputer mereka.

Ketika korban mengklik tautan, file yang dapat dieksekusi diunduh yang menggunakan ikon dan nama yang terkait dengan jenis dokumen yang ditampilkan di situs web. Misalnya, menggunakan tautan "Laporan Penggajian selama COVID-19", sebuah dokumen bernama PreviewReport.doc.exe akan diunduh. Karena Windows tidak menampilkan ekstensi file secara default, sebagian besar pengguna hanya akan melihat PreviewReport.doc dan membuka file ini, percaya bahwa itu adalah dokumen yang sah.

Pintu belakang tersembunyi


File yang dapat dieksekusi yang disembunyikan dalam dokumen berbahaya ini adalah bootloader untuk BazarBackdoor. Ketika pengguna meluncurkan dokumen berbahaya, bootloader tetap tersembunyi untuk waktu yang singkat sebelum menyambung ke server manajemen eksternal untuk mengunduh BazarBackdoor.

Untuk mendapatkan alamat server manajemen, BazarLoader akan menggunakan layanan DNS terdesentralisasi Emercoin untuk mendapatkan berbagai nama host menggunakan domain bazar. Domain bazar hanya dapat digunakan pada server DNS Emercoin, dan karena desentralisasi, membuatnya sulit (jika bukan tidak mungkin) bagi lembaga penegak hukum untuk melacak host yang diperlukan.

Nama host yang digunakan untuk server manajemen:

  • Lupa.Bazar
  • bestgame.bazar
  • thegame.bazar
  • newgame.bazar
  • portgame.bazar

Segera setelah alamat IP server manajemen diperoleh, bootloader pertama kali terhubung ke satu C2 dan melakukan registrasi. Menurut para ahli yang menguji pintu belakang ini, permintaan ini selalu mengembalikan kode kesalahan HTTP 404.



Permintaan kedua, C2, namun memuat muatan XOR terenkripsi, yang merupakan program jahat, pintu belakang BazarBbackdoor.



Setelah payload dimuat, itu akan tertanam dengan cara fileless ke dalam proses C: \ Windows \ system32 \ svchost.exe. Peneliti keselamatan kerja Vitali Kremez , yang mempublikasikan laporan teknis , mengatakan kepada BleepingComputer bahwa ini dilakukan dengan menggunakan metode Proses Pelubang dan Proses Doppelgänging .



Ketika pengguna Windows terbiasa dengan proses svchost.exe yang berjalan di Task Manager, proses svchost.exe lain tidak mungkin menimbulkan kecurigaan di antara sebagian besar pengguna.

Tugas terjadwal juga akan dikonfigurasikan untuk memulai bootloader ketika pengguna masuk ke Windows, yang akan memungkinkan Anda untuk mengunduh versi baru dari pintu belakang dan memasukkannya ke dalam proses svchost.exe.



Peneliti keamanan Kremez dan James kemudian melaporkan bahwa backdoor mengunduh dan mengeksekusi tes penetrasi Cobalt Strike dan satu set utilitas khusus untuk pengoperasian mesin ini selanjutnya di komputer korban.

Cobalt Strike adalah aplikasi keamanan informasi yang sah yang dipromosikan sebagai "platform pemodelan musuh" dan dirancang untuk melakukan penilaian keamanan jaringan terhadap ancaman kompleks yang disimulasikan yang sedang dilakukan oleh penyerang untuk tetap berada di jaringan.

Namun, penyerang sering menggunakan versi yang diretas dari Cobalt Strike sebagai bagian dari toolkit mereka ketika menyebarkan ancaman di seluruh jaringan, mencuri kredensial, dan menyebarkan malware.

Saat menerapkan Cobalt Strike, jelas bahwa pintu belakang tersembunyi ini digunakan untuk mengamankan posisi di jaringan perusahaan sehingga ransomware dapat disematkan, data dicuri, atau akses jaringan dijual ke penyerang lain.

Kesamaan antara BazarBackdoor dan TrickBot


BazarBackdoor adalah malware kelas enterprise. Peneliti keamanan informasi percaya bahwa pintu belakang ini kemungkinan besar dikembangkan oleh tim yang sama yang mengembangkan Trojan TrickBot: kedua program jahat memiliki bagian kode yang sama, serta metode pengiriman yang sama dan prinsip kerja.

Bahaya pintu belakang


Dalam setiap serangan yang kompleks, apakah itu pemerasan, spionase industri atau ekstraksi data perusahaan, ketersediaan akses semacam ini sangat penting. Jika penjahat dunia maya berhasil menginstal BazarBackdoor di sistem TI perusahaan, ini bisa menjadi bahaya serius, dan mengingat volume email yang dikirim menggunakan pintu belakang ini, ini adalah ancaman umum.

Seperti yang telah kita lihat, BazarBackdoor dapat menjadi titik masuk untuk berbagai alat dan alat kriminal. Dalam hal ini, sangat penting bahwa perusahaan dilindungi secara andal untuk mencegah potensi kerusakan dari ancaman semacam ini.

Sumber: BleepingComputer

More articles:


All Articles