alexzir
05.06.2020, 14:27
В середине марта резко возросло количество атак типа brute force на RDP-соединения (https://www.cloudav.ru/mediacenter/security/brute-force-rdp/). Цель этих атак состояла в том, чтобы воспользоваться внезапным увеличением числа удаленных работников и заполучить контроль над их корпоративными компьютерами.
Специалисты по информационной безопасности обнаружили новую фишинговую кампанию (https://www.bleepingcomputer.com/news/security/bazarbackdoor-trickbot-gang-s-new-stealthy-network-hacking-malware/), «продвигающую» скрытый бэкдор под названием BazarBackdoor (новое вредоносное ПО операторов TrickBot), который может быть использован для взлома и получения полного доступа к корпоративным сетям.
Как и в случае с 91% кибер-атак (https://blog.knowbe4.com/bid/252429/91-of-cyberattacks-begin-with-spear-phishing-email), эта атака начинается с фишинговой электронной почты. Для персонализации электронных писем используются различные темы: жалобы клиентов, отчеты о заработной плате на тему коронавируса или списки увольнений сотрудников. Все эти письма содержат ссылки на документы, размещенные в Google Docs. Для отправки вредоносных писем кибер-преступники используют маркетинговую платформу Sendgrid.
https://habrastorage.org/webt/6n/ga/31/6nga31imgphwv8h0dikwy86lx3a.jpeg
Эта кампания использует так называемый «целевой фишинг» (spear phishing), а это означает, что преступники приложили все усилия для того, чтобы веб-сайты, ссылки на которые были отправлены в электронных письмах, казались легитимными и соответствовали тематике электронных писем.
Вредоносные документы
Следующий шаг в кампании с BazarBackdoor – это заставить жертву скачать документ. На этих «подставных» веб-сайтах происходят проблемы с отображением файлов в формате Word, Excel или PDF, а потому пользователям предлагается скачать документ, чтобы иметь возможность просмотреть его локально на своем компьютере.
Когда жертва нажимает на ссылку, загружается исполняемый файл, который использует значок и имя, связанные с типом документа, отображаемого на веб-сайте. Например, по ссылке “Отчет о заработной плате во время COVID-19" загрузится документ под названием PreviewReport.doc.exe. Поскольку Windows по умолчанию не показывает расширения файлов, большинство пользователей просто увидят PreviewReport.doc и откроют этот файл, полагая, что это легитимный документ.
Скрытый бэкдор
Исполняемый файл, скрытый в этом вредоносном документе, является загрузчиком для BazarBackdoor. Когда пользователь запускает вредоносный документ, загрузчик остается скрытым в течение короткого времени, прежде чем подключиться к внешнему серверу управления для загрузки BazarBackdoor.
Чтобы получить адрес сервера управления, BazarLoader будет использовать децентрализованный DNS-сервис Emercoin (https://emercoin.com/en/documentation/blockchain-services/emerdns/emerdns-introduction) для получения различных имен хостов, использующих домен «bazar». Домен «bazar» может быть использован только на DNS-серверах Emercoin, и поскольку он децентрализован, это затрудняет (если не сказать, что делает невозможным) правоохранительным органам проследить требуемый хост.
Имена хостов, используемых для серверов управления:
forgame.bazar
bestgame.bazar
thegame.bazar
newgame.bazar
portgame.bazar
Как только IP-адрес сервера управления будет получен, загрузчик сначала подключится к одному C2 и выполнит регистрацию. Как сообщают эксперты, которые тестировали данный бэкдор, этот запрос всегда возвращал код ошибки HTTP 404.Второй запрос C2, однако, загружает зашифрованную полезную нагрузку XOR, которая является вредоносной программой – бэкдором BazarBbackdoor.
https://habrastorage.org/webt/fz/to/mc/fztomcqx60zhbxwd-noefk3fbio.jpeg
После того как полезная нагрузка будет загружена, она будет безфайловым способом внедрена в процесс C:\Windows\system32\svchost.exe. Исследователь по безопасности Виталий Кремез (https://twitter.com/VK_Intel), опубликовавший технический отчет (https://www.vkremez.com/2020/04/lets-learn-trickbot-bazarbackdoor.html), сообщил в BleepingComputer, что это делается с использованием методов Process Hollowing и Process Doppelgänging (https://hshrzd.wordpress.com/2017/12/18/process-doppelganging-a-new-way-to-impersonate-a-process/).
https://habrastorage.org/webt/ea/mw/dl/eamwdlemm39br0jale1srvkrgoq.jpeg
По мере того, как пользователи Windows привыкли к процессам svchost.exe, запущенным в Диспетчере задач, то еще один процесс svchost.exe вряд ли вызовет подозрение у большинства пользователей.
Запланированная задача также будет настроена на запуск загрузчика при входе пользователя в Windows, что позволит регулярно загружать новые версии бэкдора и вводить их в процесс svchost.exe.
https://habrastorage.org/webt/sy/er/nt/syernth1huhiafrxdu9ao7l2e6s.jpeg
Позже исследователи по безопасности Кремез и Джеймс сообщили, что бэкдор загружает и выполняет на компьютере жертвы тест Cobalt Strike на проникновение и специальный набор утилит для последующей эксплуатации данной машины.
Cobalt Strike — это легитимное приложение для информационной безопасности, которое продвигается в качестве «платформы моделирования противника» и предназначено для выполнения оценки сетевой безопасности против имитируемой сложной угрозы, которую злоумышленник пытается сохранить в сети.
Однако часто злоумышленники используют взломанные версии Cobalt Strike как часть своего инструментария при распространении угрозы по всей сети, краже учетных данных и развертывании вредоносных программ.
Внедряя Cobalt Strike, очевидно, что этот скрытый бэкдор используется для закрепления позиций в корпоративных сетях, чтобы можно было внедрить шифровальщики, украсть данные или продать сетевой доступ другим злоумышленникам.
Сходство между BazarBackdoor и TrickBot
BazarBackdoor — это вредоносная программа класса enterprise. Исследователи по вопросам информационной безопасности полагают, что этот бэкдор, скорее всего, был разработан той же группой, которая разработала троян TrickBot: обе вредоносные программы имеют части одного и того же кода, а также одинаковые методы доставки и принципы работы.
Опасности бэкдоров
В любой сложной атаке, будь то вымогательство, промышленный шпионаж или извлечение корпоративных данных, наличие такого рода доступа крайне важно. Если кибер-преступнику удается установить BazarBackdoor в ИТ-системе компании, это может представлять серьезную опасность, а, учитывая объем электронных писем, отправляемых с помощью этого бэкдора, это распространенная угроза.
Как мы уже видели, BazarBackdoor может быть точкой входа для широкого спектра преступных инструментов и средств. В связи с этим крайне важно, чтобы предприятия были надежно защищены (https://www.cloudav.ru/enterprise/adaptive-defense-360) с целью предотвращения потенциального ущерба со стороны угроз подобного рода.
Источник: BleepingComputer (https://www.bleepingcomputer.com/news/security/bazarbackdoor-trickbot-gang-s-new-stealthy-network-hacking-malware/)
https://habr.com/ru/post/504996/
Специалисты по информационной безопасности обнаружили новую фишинговую кампанию (https://www.bleepingcomputer.com/news/security/bazarbackdoor-trickbot-gang-s-new-stealthy-network-hacking-malware/), «продвигающую» скрытый бэкдор под названием BazarBackdoor (новое вредоносное ПО операторов TrickBot), который может быть использован для взлома и получения полного доступа к корпоративным сетям.
Как и в случае с 91% кибер-атак (https://blog.knowbe4.com/bid/252429/91-of-cyberattacks-begin-with-spear-phishing-email), эта атака начинается с фишинговой электронной почты. Для персонализации электронных писем используются различные темы: жалобы клиентов, отчеты о заработной плате на тему коронавируса или списки увольнений сотрудников. Все эти письма содержат ссылки на документы, размещенные в Google Docs. Для отправки вредоносных писем кибер-преступники используют маркетинговую платформу Sendgrid.
https://habrastorage.org/webt/6n/ga/31/6nga31imgphwv8h0dikwy86lx3a.jpeg
Эта кампания использует так называемый «целевой фишинг» (spear phishing), а это означает, что преступники приложили все усилия для того, чтобы веб-сайты, ссылки на которые были отправлены в электронных письмах, казались легитимными и соответствовали тематике электронных писем.
Вредоносные документы
Следующий шаг в кампании с BazarBackdoor – это заставить жертву скачать документ. На этих «подставных» веб-сайтах происходят проблемы с отображением файлов в формате Word, Excel или PDF, а потому пользователям предлагается скачать документ, чтобы иметь возможность просмотреть его локально на своем компьютере.
Когда жертва нажимает на ссылку, загружается исполняемый файл, который использует значок и имя, связанные с типом документа, отображаемого на веб-сайте. Например, по ссылке “Отчет о заработной плате во время COVID-19" загрузится документ под названием PreviewReport.doc.exe. Поскольку Windows по умолчанию не показывает расширения файлов, большинство пользователей просто увидят PreviewReport.doc и откроют этот файл, полагая, что это легитимный документ.
Скрытый бэкдор
Исполняемый файл, скрытый в этом вредоносном документе, является загрузчиком для BazarBackdoor. Когда пользователь запускает вредоносный документ, загрузчик остается скрытым в течение короткого времени, прежде чем подключиться к внешнему серверу управления для загрузки BazarBackdoor.
Чтобы получить адрес сервера управления, BazarLoader будет использовать децентрализованный DNS-сервис Emercoin (https://emercoin.com/en/documentation/blockchain-services/emerdns/emerdns-introduction) для получения различных имен хостов, использующих домен «bazar». Домен «bazar» может быть использован только на DNS-серверах Emercoin, и поскольку он децентрализован, это затрудняет (если не сказать, что делает невозможным) правоохранительным органам проследить требуемый хост.
Имена хостов, используемых для серверов управления:
forgame.bazar
bestgame.bazar
thegame.bazar
newgame.bazar
portgame.bazar
Как только IP-адрес сервера управления будет получен, загрузчик сначала подключится к одному C2 и выполнит регистрацию. Как сообщают эксперты, которые тестировали данный бэкдор, этот запрос всегда возвращал код ошибки HTTP 404.Второй запрос C2, однако, загружает зашифрованную полезную нагрузку XOR, которая является вредоносной программой – бэкдором BazarBbackdoor.
https://habrastorage.org/webt/fz/to/mc/fztomcqx60zhbxwd-noefk3fbio.jpeg
После того как полезная нагрузка будет загружена, она будет безфайловым способом внедрена в процесс C:\Windows\system32\svchost.exe. Исследователь по безопасности Виталий Кремез (https://twitter.com/VK_Intel), опубликовавший технический отчет (https://www.vkremez.com/2020/04/lets-learn-trickbot-bazarbackdoor.html), сообщил в BleepingComputer, что это делается с использованием методов Process Hollowing и Process Doppelgänging (https://hshrzd.wordpress.com/2017/12/18/process-doppelganging-a-new-way-to-impersonate-a-process/).
https://habrastorage.org/webt/ea/mw/dl/eamwdlemm39br0jale1srvkrgoq.jpeg
По мере того, как пользователи Windows привыкли к процессам svchost.exe, запущенным в Диспетчере задач, то еще один процесс svchost.exe вряд ли вызовет подозрение у большинства пользователей.
Запланированная задача также будет настроена на запуск загрузчика при входе пользователя в Windows, что позволит регулярно загружать новые версии бэкдора и вводить их в процесс svchost.exe.
https://habrastorage.org/webt/sy/er/nt/syernth1huhiafrxdu9ao7l2e6s.jpeg
Позже исследователи по безопасности Кремез и Джеймс сообщили, что бэкдор загружает и выполняет на компьютере жертвы тест Cobalt Strike на проникновение и специальный набор утилит для последующей эксплуатации данной машины.
Cobalt Strike — это легитимное приложение для информационной безопасности, которое продвигается в качестве «платформы моделирования противника» и предназначено для выполнения оценки сетевой безопасности против имитируемой сложной угрозы, которую злоумышленник пытается сохранить в сети.
Однако часто злоумышленники используют взломанные версии Cobalt Strike как часть своего инструментария при распространении угрозы по всей сети, краже учетных данных и развертывании вредоносных программ.
Внедряя Cobalt Strike, очевидно, что этот скрытый бэкдор используется для закрепления позиций в корпоративных сетях, чтобы можно было внедрить шифровальщики, украсть данные или продать сетевой доступ другим злоумышленникам.
Сходство между BazarBackdoor и TrickBot
BazarBackdoor — это вредоносная программа класса enterprise. Исследователи по вопросам информационной безопасности полагают, что этот бэкдор, скорее всего, был разработан той же группой, которая разработала троян TrickBot: обе вредоносные программы имеют части одного и того же кода, а также одинаковые методы доставки и принципы работы.
Опасности бэкдоров
В любой сложной атаке, будь то вымогательство, промышленный шпионаж или извлечение корпоративных данных, наличие такого рода доступа крайне важно. Если кибер-преступнику удается установить BazarBackdoor в ИТ-системе компании, это может представлять серьезную опасность, а, учитывая объем электронных писем, отправляемых с помощью этого бэкдора, это распространенная угроза.
Как мы уже видели, BazarBackdoor может быть точкой входа для широкого спектра преступных инструментов и средств. В связи с этим крайне важно, чтобы предприятия были надежно защищены (https://www.cloudav.ru/enterprise/adaptive-defense-360) с целью предотвращения потенциального ущерба со стороны угроз подобного рода.
Источник: BleepingComputer (https://www.bleepingcomputer.com/news/security/bazarbackdoor-trickbot-gang-s-new-stealthy-network-hacking-malware/)
https://habr.com/ru/post/504996/