Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

BazarBackdoor теперь распространяется через формы обратной связи на сайтах

14/03/22

backdoor4Вредоносное ПО BazarBackdoor теперь распространяется не через фишинговые письма, а через формы обратной связи на сайтах, что позволяет ему эффективнее обходить обнаружение антивирусными решениями.

BazarBackdoor представляет собой скрытый бэкдор, созданный киберпреступной группировкой TrickBot и в настоящее время использующийся в операциях кибервымогателей Conti. Вредонос обеспечивает злоумышленникам удаленный доступ к внутреннему устройству, который можно использовать как стартовую площадку для дальнейшего перемещения по сети жертвы.

Как правило, BazarBackdoor распространялся через фишинговые письма с вредоносным вложением, загружавшим и устанавливавшим вредоносное ПО на атакуемой системе. Однако фильтры в сервисах электронной почты становятся все более эффективными в обнаружении вредоносных загрузчиков, поэтому киберпреступники нашли новый способ распространения.

Как пояснили специалисты из Abnormal Security, новая кампания по распространению BazarBackdoor началась в декабре 2021 года и нацелена на корпоративных пользователей. Вероятно, целью заражения является развертывание в их сетях Cobalt Strike или вымогательского ПО.

Вместо рассылки фишинговых писем злоумышленники теперь используют форму обратной связи на корпоративных сайтах. В одном из изученных исследователями случаев хакеры выдавали себя за сотрудников канадской строительной компании, подавших заявку на покупку материалов.

Когда сотрудник ответил на фишинговое письмо, злоумышленники отправили в ответ вредоносный файл ISO, якобы имеющий отношение к заказу.

Поскольку непосредственная отправка файла вызвала бы срабатывание антивирусного решения, хакеры использовали файлообменный сервис.

Архив ISO содержал файлы .lnk и .log. Идея заключалась в том, чтобы обойти антивирусные решения путем упаковки полезной нагрузки в архив, чтобы пользователь разархивировал ее вручную.

Файл .lnk содержит инструкцию, открывающую окно терминала с помощью двоичных кодов Windows, и загружает файл .log, который на самом деле является BazarBackdoor DLL. После загрузки бэкдор внедряется в процесс svchost.exe и подключается к C&C-серверу для получения дальнейших команд.

Подробнее: https://www.securitylab.ru/news/530536.php

Темы:УгрозыбэкдорыCobaltStrike
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...