Get best of the week

BazarBackdoor:エンタープライズシステムへの新しいエントリポイント



3月中旬には、RDP接続に対するブルートフォース攻撃の数が急激に増加しました。これらの攻撃の目的は、リモートワーカーの急激な増加を利用し、企業のコンピューターを制御することでした。

情報セキュリティの専門家は、BazarBackdoor(TrickBotオペレーターからの新しいマルウェア)と呼ばれる隠しバックドアを宣伝する新しいフィッシングキャンペーン発見しました。これは、ハッキングして企業ネットワークへのフルアクセスを取得するために使用できます。

サイバー攻撃の91%と 同様に、この攻撃はフィッシングメールから始まります。電子メールをパーソナライズするために、顧客の苦情、コロナウイルスのトピックに関する給与レポート、または従業員の解雇リストなど、さまざまなトピックが使用されます。これらのすべての手紙には、Googleドキュメントでホストされているドキュメントへのリンクが含まれています。サイバー犯罪者は、Sendgridマーケティングプラットフォームを使用して悪意のあるメールを送信します。



このキャンペーンは、いわゆる「スピアフィッシング」を使用しています。つまり、メールにリンクされたWebサイトが正当であり、メールの件名に関連しているように見えるようにするために、犯罪者はあらゆる努力を払いました。

悪意のあるドキュメント


BazarBackdoorを使ったキャンペーンの次のステップは、被害者にドキュメントをダウンロードさせることです。これらの「ダミー」のWebサイトでは、Word、Excel、またはPDF形式でのファイルの表示に問題があるため、ユーザーは自分のコンピューターでローカルに表示できるようにドキュメントをダウンロードするように求められます。

被害者がリンクをクリックすると、Webサイトに表示されるドキュメントのタイプに関連付けられたアイコンと名前を使用する実行可能ファイルがダウンロードされます。たとえば、「COVID-19中の給与計算レポート」リンクを使用すると、PreviewReport.doc.exeというドキュメントがダウンロードされます。Windowsにはデフォルトでファイル拡張子が表示されないため、ほとんどのユーザーは単にPreviewReport.docを表示してこのファイルを開くだけです。正当な文書。

隠しバックドア


この悪意のあるドキュメントに隠されている実行可能ファイルは、BazarBackdoorのブートローダーです。ユーザーが悪意のあるドキュメントを起動すると、ブートローダーは外部管理サーバーに接続してBazarBackdoorをダウンロードする前に、しばらく非表示になります。

管理サーバーのアドレスを取得するために、BazarLoaderはEmercoin 分散DNSサービスを使用して、bazarドメインを使用するさまざまなホスト名を取得します。バザードメインはEmercoin DNSサーバーでのみ使用でき、分散化されているため、法執行機関が必要なホストを追跡することが(不可能ではないにしても)困難になります。

管理サーバーに使用されるホスト名:

  • forgame.bazar
  • bestgame.bazar
  • thegame.bazar
  • newgame.bazar
  • portgame.bazar

管理サーバーのIPアドレスを受信するとすぐに、ブートローダーは最初に1つのC2に接続し、登録を完了します。このバックドアをテストした専門家によると、このリクエストは常にHTTP 404エラーコードを返しましたが、



2番目のリクエストC2は、悪意のあるプログラムであるBazarBbackdoorバックドアである暗号化されたXORペイロードをロードします。



ペイロードがロードされると、ファイルCのプロセスC:\ Windows \ system32 \ svchost.exeに埋め込まれます。安全研究者ビタリKremez公開し、技術報告書は、これはプロセス空洞化して使用して行われていることBleepingComputerに語ったプロセスDoppelgänging方法を



Windowsユーザーがタスクマネージャーで実行されているsvchost.exeプロセスに慣れているため、別のsvchost.exeプロセスがほとんどのユーザーに疑いを抱かせる可能性は低いです。

スケジュールされたタスクは、ユーザーがWindowsにログインしたときにブートローダーを開始するようにも設定されます。これにより、バックドアの新しいバージョンを定期的にダウンロードして、svchost.exeプロセスに入力できます。



セキュリティの研究者であるクレメズとジェームズは、このバックドアがコバルトストライク侵入テストと被害者のコンピューターでのこのマシンのその後の操作のための特別なユーティリティセットをダウンロードして実行すると報告しました。

Cobalt Strikeは、「敵対的なモデリングプラットフォーム」として宣伝されている正当な情報セキュリティアプリケーションであり、攻撃者がネットワーク上に保持しようとしているシミュレーションされた複雑な脅威に対してネットワークセキュリティ評価を実行するように設計されています。

ただし、攻撃者は、ツールキットの一部としてハッキングされたバージョンのCobalt Strikeを使用して、ネットワーク全体に脅威を拡散し、資格情報を盗み、マルウェアを展開します。

Cobalt Strikeを実装する場合、ランサムウェアを埋め込んだり、データを盗んだり、ネットワークアクセスを他の攻撃者に販売したりするために、この隠されたバックドアが企業ネットワーク内の位置を保護するために使用されることは明らかです。

BazarBackdoorとTrickBotの類似点


BazarBackdoorはエンタープライズクラスのマルウェアです。情報セキュリティ研究者は、このバックドアはTrickBotトロイの木馬を開発したのと同じチームによって開発された可能性が高いと考えています。悪意のあるプログラムは両方とも同じコードの一部を持ち、同じ配信方法と動作原理を持っています。

バックドアの危険性


恐喝、産業スパイ、企業データの抽出など、複雑な攻撃では、この種のアクセスの可用性が非常に重要です。サイバー犯罪者がBazarBackdoorを会社のITシステムにインストールした場合、これは深刻な危険になり、このバックドアを使用して送信される電子メールの量を考えると、これは一般的な脅威です。

これまで見てきたように、BazarBackdoorはさまざまな犯罪ツールやツールのエントリポイントになる可能性があります。この点で、この種の脅威による潜在的な被害を防ぐために、企業を確実に保護することが不可欠です

出典:BleepingComputer

More articles:


All Articles