首页 > 安全 > 正文

攻击者使用网站联系表格来扩散Bazarloader恶意软件

最后更新 :2022.03.13

研究人员警告,威胁演员正在通过网站联系人展开逃避检测的Bazarloader恶意软件。

Trickbot 据AdvIntel据AdvIntel介绍,他们最近抵达了旅程结束时,其中一些顶级成员在  conti ransomware 团伙,计划用Stealthier&nbsp取代受欢迎的银行木工特洛伊木马; [123

BazarbackDoor是由TrickBot的开发人员开发的,用于实现进入企业网络的远程访问,并使用它来部署赎金软件。

随着涓涓细流的越来越普及,它变得易于检测它antimalware解决方案,因为这个原因,团伙开始使用BazarbackDoor进行初步访问网络。

BazarbAckdoor恶意软件通常通过使用武器化文件来传播网络钓鱼消息。 

在2021年12月和1月2022年间,我们确定了一系列针对客户的几个客户的网络钓鱼活动。通过异常安全公布的分析。这些案例中的攻击者而不是直接发送网络钓鱼电子邮件,而是通过组织的网站联系表格发起对话。在这些初步联系表单中,攻击者在加拿大奢侈品建筑公司作为一名员工寻找一个由目标提供的产品的报价。

利用组织的网站联系表的攻击于2021年12月开始,威胁演员使用了BazarbackDoor部署了赎金软件队伍或钴串信标。

在其中一个专家分析的攻击,攻击者作为一个加拿大建筑公司的员工提交了一个加拿大建筑公司的员工,他们提交了目标提供的产品报价。

一旦员工已经回应了网络钓鱼企图,攻击者继续谈判努力欺骗受害者下载恶意文件。

专家分析的攻击使用据说与谈判相关的恶意ISO文件,邀请受害者从转运管理和Wefransfer等文件共享服务下载。

phishing BazarLoader

[ 联系表格在过去,Microsoft研究人员已经使用了过去的Microsoft研究人员滥用了合法网站上的恶意软件活动滥用联系表格来提供ICEDID恶意软件。 ISO图像在异常安全性观察到的攻击中使用了.lnk文件和.log文件,前者包括使用regsvr32.exe打开终端窗口的命令指令来运行SO-Named文件dumstack.log,实际上是一个bazarbackdoor dll。 通过流程注入技术,DLL使用svchost.exe服务来逃避检测并与其命令和控制建立连接(C2)服务器在IP地址13.107.21 [。] 200使用端口443.继续分析。 keachoor被注入到svchost.exe进程中并等待来自C2服务器的命令。在调查时,一些C2 IP地址下降,而其他C2 IP地址则无法提供第二阶段恶意软件,使其无法分析它。 基于这,很明显威胁演员正在尝试使用Bazarloader作为第一步执行多级攻击。结束了报告。Bazarloader通常是一个更复杂的多级恶意软件攻击的第一阶段,通常用于部署Conti ransomware或Cobalt罢工。

- END -

看更多