E-posta ağ geçitleri kötü niyetli mesajları tespit etmede daha iyi hale geldikçe, uğursuz BazarBackdoor kötü amaçlı yazılımının operatörleri taktiklerini değiştirmeye başlıyor.
gelen raporlara göre BleeBilgisayar, Kötü amaçlı yazılımı oluşturan TrickBot grubu artık yeni uç noktalara doğrudan e-posta yoluyla değil, web sitesi iletişim formları aracılığıyla bulaşmaya çalışıyor.
Siber güvenlik uzmanlarından Anormal Güvenlik’ten bir rapora atıfta bulunan yayın, yeni kampanyanın muhtemelen Aralık 2021’de başladığını ve Kobalt Strike veya fidye yazılımı ile kurumsal uç noktaları hedef aldığını söylüyor.
BazarBackdoor DLL’sini Dağıtma
Yöntem basittir: doğrudan bir e-posta göndermek yerine, tehdit aktörü iletişimi başlatmak için kurumsal iletişim formlarını kullanacak ve çoğu zaman bir ürün tedarik teklifi isteyen bir işletme gibi görünecek.
Hedef mesaja yanıt verdiğinde, saldırgan iletişimle ilgili olduğunu iddia ederek kötü amaçlı bir ISO dosyası gönderir. Ancak ISO dosyası doğrudan eklenmeyecek, bunun yerine önce TransferNow veya WeTransfer gibi üçüncü taraf dosya paylaşım hizmetlerine yüklenecek.
Araştırmacılar, ISO arşivinin iki dosya taşıdığını öne sürüyor: bir .lnk dosyası ve bir .log dosyası. Bu dosyaları bir arada gruplandırarak ve kurbanın indirdikten sonra bunları manuel olarak çıkarmasını sağlayarak, tehdit aktörleri hedefin kurmuş olabileceği herhangi bir e-posta koruma hizmetinden kaçmayı umuyor.
Hedef .lnk dosyasını çalıştırdığında, bir terminal penceresi açacak ve .log dosyasını – BazarBackdoor DLL’sini yükleyecektir.
BazarBackdoor, operatörlerine dahili bir cihaza uzaktan erişim sağlamak için inşa edilmiştir ve bu nedenle, genellikle daha yıkıcı kötü amaçlı yazılımların veya fidye yazılımlarının dağıtımına yönelik bir atlama taşı olarak kullanılır.
BazarBackdoor’un çok aşamalı bir saldırının ilk aşaması olduğu göz önüne alındığında, araştırmacılar kötü amaçlı yazılımın ikinci aşama yükünü dağıtmasını bekliyor. Ancak, C2 IP’lerinin çoğu çevrimdışıdır ve bu da araştırmacıların kampanyanın sonunu keşfetmesini engeller.
Üzerinden BleeBilgisayar
