Η συμμορία του TrickBot στοχεύει όλο και περισσότερους στόχους “υψηλής αξίας” χρησιμοποιώντας ένα σχετικά νέο trojan, με το όνομα BazarLoader. Μετά την αρχική μόλυνση με το BazarLoader, μπορούν να εγκατασταθούν διάφορα malware. Στο τελικό στάδιο, αναπτύσσεται το Ryuk ransomware.
Εδώ και χρόνια, η συμμορία TrickBot χρησιμοποιεί trojan για να θέσει σε κίνδυνο εταιρικά δίκτυα, κατεβάζοντας διάφορα λογισμικά που χρησιμοποιούνται για κλοπή κωδικών πρόσβασης, εξάπλωση σε άλλους υπολογιστές ή ακόμη και κλοπή Active Directory database ενός domain.
Από το TrickBot στο BazarLoader
Τον Απρίλιο του 2020, η συμμορία TrickBot άρχισε να χρησιμοποιεί μια νέα μέθοδο μόλυνσης, την BazarLoader/BazarBackdoor, σε phishing επιθέσεις.
Ερευνητές της Advanced Intel ανέφεραν σε μια έκθεσή τους ότι η συμμορία δεν μολύνει τα θύματα με το περιβόητο TrickBot trojan, αλλά με το BazarLoader. Αυτό τουλάχιστον παρατηρείται τους τελευταίους μήνες. Στόχος είναι κυρίως εταιρικά δίκτυα “υψηλής αξίας”.
Σύμφωνα με τους ερευνητές, το BazarLoader είναι πολύ απλό αλλά καταφέρνει να προκαλεί μεγάλη ζημιά στα συστήματα των θυμάτων.
Μια μόλυνση BazarLoader ξεκινά με μια στοχευμένη phishing επίθεση, όπως φαίνεται από ένα email που έλαβε το BleepingComputer τον Απρίλιο.
Μετά τη μόλυνση ενός υπολογιστή, το BazarLοader θα χρησιμοποιήσει “process hollowing” για να βάλει το BazarBackdoor component σε νόμιμες διαδικασίες των Windows, όπως cmd.exe, explorer.exe και svchost.exe. Με αυτή τη διαδικασία, δημιουργείται ένα scheduled task που φορτώνει το BazarLoader κάθε φορά που ένας χρήστης συνδέεται στο σύστημα.
Τελικά, το BazarBackdoor θα αναπτύξει ένα Cobalt Strike beacon, το οποίο επιτρέπει στους επιτιθέμενους να αποκτήσουν απομακρυσμένη πρόσβαση στο σύστημα και να εγκαταστήσουν post-exploitation εργαλεία, όπως το BloodHound και το Lasagne για την απόκτηση ελέγχου ενός Windows domain και την εξαγωγή credentials.
Τελικά, η επίθεση αξιοποιείται από εγκληματίες που αναπτύσσουν το Ryuk ransomware σε ολόκληρο το δίκτυο και απαιτούν λύτρα.
Σύμφωνα με τον ερευνητή Kremez, το Bazarloader θα συνεχίσει να χρησιμοποιείται αλλά σε επιλεγμένους στόχους, όπως και τώρα. Για πιο μαζικές παραβιάσεις δικτύων, οι επιτιθέμενοι θα συνεχίσουν να χρησιμοποιούν το TrickBot.