Connect with us

Technologie

Bazar malware peut être un nouvel outil dans l’arsenal Trickbot

Published

on


Une nouvelle souche de chargeur de logiciels malveillants et porte dérobée surnommé Bazar, qui peut être utilisé pour déployer des logiciels malveillants supplémentaires et ransomware et exfiltrer les données, vise les soins de santé, l’informatique, la fabrication, la logistique et les entreprises de services professionnels à travers les États-Unis et l’Europe, selon l’équipe de recherche sur les menaces Cybereason Nocturnes.

Bazar a vu le jour en avril 2020 et est suivi par Assaf Dahan, Daniel Frank et Mary Zhao de Cybereason. Distribué par e-mails d’hameçonnage exploitant des sujets tels que la pandémie de coronavirus Covide-19, il semble avoir des liens étroits avec les campagnes précédentes Trickbot, étant livré par une chaîne d’infection similaire – il réutilise également les domaines associés, utilise des certificats révoqués pour signer des logiciels malveillants, et a des routines de décryptage presque identiques.

Après avoir établi une tête de pont initiale dans l’environnement cible à l’aide de la chargeuse, la porte dérobée établit la persistance, laissant les cybercriminels derrière elle déployer d’autres charges utiles telles que ransomware, cadres post-exploitation tels que CobaltStrike, ainsi que le vol de données et l’exécution de commandes à distance.

L’équipe de Nocturne a déclaré qu’elle avait trouvé plusieurs versions différentes de Bazar en circulation, suggérant qu’il est activement développé et mis à jour par ses créateurs, qui sont presque certainement basés en Russie – comme en témoigne le fait qu’il essaie d’éviter de cibler les utilisateurs dans cette géographie en vérifiant si la langue russe est installée sur sa machine cible.

« Sur la base de notre enquête, Cybereason estime que la nouvelle famille de logiciels malveillants est le dernier outil sophistiqué dans l’arsenal du gang Trickbot, qui jusqu’à présent a été observé de manière sélective sur une poignée de cibles de grande valeur, » Dahan a écrit dans un blog de divulgation.

« e malware Bazar est axé sur l’évasion, la furtivité et la persistance. Les auteurs de logiciels malveillants testent activement quelques versions de leurs logiciels malveillants, en essayant d’obscurcir le code autant que possible, et en cachant la charge utile finale tout en l’exécutant dans le contexte d’un autre processus. Pour échapper davantage à la détection, le chargeur Bazar et la porte dérobée utilisent un schéma de rappel de réseau différent de logiciels malveillants précédemment vus trickbot-connexes.

« Après l’infection, le malware offre aux acteurs de la menace une variété d’options de commande et d’exécution de code, ainsi que des fonctionnalités intégrées de téléchargement de fichiers et d’auto-suppression. Cette variété permet aux attaquants d’être dynamiques lors de l’exfiltration des données, de l’installation d’une autre charge utile sur la machine ciblée ou de la propagation sur le réseau. En général, le fait d’avoir plus d’options permet aux acteurs de la menace de s’adapter aux changements dans leurs objectifs ou dans l’environnement de la victime », a-t-il dit.

L’équipe de Nocturne a également observé que, bien qu’elle ait d’abord libéré Bazar en avril, elle a rapidement disparu pendant un hiatus de près de deux mois jusqu’à ce qu’une nouvelle variante soit repérée en juin. Dahan a déclaré que cela démontrait clairement que les auteurs du malware avaient pris le temps de réexaminer et d’améliorer leur code pour rendre Bazar plus difficile à repérer et à traiter.

Entre autres choses, ils ont modifié certaines des versions originales des caractéristiques plus détectables, telles que les chaînes qui étaient précédemment code dur, et la modification de la routine de décryptage shellcode connue.

Cybereason a déclaré que si Bazar est clairement encore au stade du développement, son évolution suggère l’émergence d’une nouvelle menace « ormidabl » dans un avenir pas trop lointain.

Plus d’informations sur Bazar, y compris des captures d’écran, des détails techniques approfondis et des indicateurs de compromis (IoCs) peuvent être trouvés sur le blog de divulgation cyberéason.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance