加载中…
个人资料
微博
  • 博客等级:
  • 博客积分:
  • 博客访问:
  • 关注人气:
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
正文 字体大小:

警惕,研究者发现在线表格可能暗含恶意软件BazarLoader

(2022-03-28 11:22:25)
标签:

江苏国骏

it

 分类: 业界新闻

尽管钓鱼邮件仍然是传统的攻击途径,但攻击者也一直并未放弃寻找新攻击方式。最近,研究人员发现 BazarLoader 通过在线表格发起攻击。

https://s4.51cto.com/oss/202203/28/c54fcf521b24474134c908897b69b04fc3529b.png

BazarLoader 被认为与网络犯罪组织 Wizard Spider 关系极为密切,该组织开发了 Trickbot 银行木马和 Conti 勒索软件而广为人知。

在 2021 年时,BazarLoader 曾假借盗版内容进行传播。攻击者威胁要对持续侵犯版权的行为采取法律行动,恶意软件被描述为不当行为的证据。

在线表格

在 2021 年 12 月至 2022 年 1 月间,研究人员发现攻击者并不是直接发送钓鱼邮件发起攻击,而是通过在线表格实现攻击。

攻击者伪装成加拿大豪华建筑公司的员工,寻求产品的报价。攻击者选用该方法有两个目的:

  • 将流量伪装成合法流量
  • 通过合法发件人发送,逃避了恶意邮件检测

攻击者只需要等着目标公司的受害者主动送上门即可。

发送恶意样本

通过电子邮件确认身份后,攻击者将以项目谈判的名义引诱受害者下载恶意文件。

https://s5.51cto.com/oss/202203/28/28fae20326e5a3ec25048693ad1e431bd1be8a.jpg

电子邮件

攻击者通常是使用文件共享服务 TransferNow 和 WeTransfer 进行样本投递。

https://s6.51cto.com/oss/202203/28/39947ef841eda776f697227241de1dd47ddf1a.jpg

样本下载

BazarLoader 恶意软件

攻击者共享的是 .iso 文件,其中包含两个伪装成不同文件类型的文件。看上去其中一个是指向所在文件夹的快捷方式,另一个是带有合法 Windows 文件名的 .log 文件。实际上,一个是 Windows 的 LNK 文件,另一个是 DumpStack.log 文件。

https://s8.51cto.com/oss/202203/28/6463350616b8fd328315179e0e2822ddc7b721.jpg

通过 TransferNow 发送的恶意软件

快捷方式允许创建者指定命令行参数在受害者设备上执行操作,攻击者常常利用该类型的文件进行攻击。

https://s9.51cto.com/oss/202203/28/927e92a33cad9b814038959703200751df96c0.jpg

ISO 文件

LNK 文件会使用 regsvr-32.exe打开终端运行 DumStack.log,后者为 BazarLoader 的 DLL 文件。

https://s2.51cto.com/oss/202203/28/319137c306ab69a853d056039b63ebb1fd1aa5.jpg

LNK 文件

DLL 通过进程注入 svchost.exe来逃避检测,并且使用 443 端口与 C&C 服务器 13.107.21.200 进行通信。

https://s9.51cto.com/oss/202203/28/851bb7454b454302e6f71031ab0c2c69bda9d5.jpg

进程

https://s4.51cto.com/oss/202203/28/762d35079f68aa1b1511614ba1820d5b91abfa.jpg

建立连接

https://s6.51cto.com/oss/202203/28/54a43c18117e145920a2750f428ca5cdb6faa2.jpg

https://image.3001.net/images/20220323/1648013578_623ab10a5a8ed7b46ec23.png!small建立连接

调查时部分 C&C 服务器已经关闭,无法下载后续载荷。根据数据关联,可以发现相关的恶意软件链接。

https://s5.51cto.com/oss/202203/28/b98411f59c140d1459900689181df3382557c4.jpg

关联图

与 IP 地址相关的恶意软件如下所示:

https://s6.51cto.com/oss/202203/28/35f189135b6405cfa4f044e6ca865de25c795a.jpg

恶意样本

总结

攻击者会冒充知名企业创建相似域名来获取受害者的信任,例如将 .com 顶级域名更改为 .us。

BazarLoader 通常作为多阶段恶意软件中的一环,后续可以部署 Conti 勒索软件或者 Cobalt Strike 恶意样本。

喜欢

0

阅读 收藏 喜欢 打印举报/Report
  

新浪BLOG意见反馈留言板 欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 产品答疑

Copyright © 1996 - 2022 SINA Corporation, All Rights Reserved

新浪公司 版权所有