Один из компонентов BazarLoader загружает маяк Cobalt Strike, обеспечивающий злоумышленникам удаленный доступ.
Раньше операторам TrickBot приходилось использовать своё вредоносное ПО для взлома корпоративных сетей путем загрузки различных программных модулей и пакетов для хищения паролей, распространения на другие устройства или кражи базы данных Active Directory. Теперь преступники атакуют корпоративные сети с помощью трояна BazarLoader перед тем, как загрузить Ryuk (один из видов вымогательского ПО).
Атака при помощи BazarLoader обычно начинается с фишинговой атаки. После заражения компьютера BazarLoader будет использовать Process Hollowing (техника атак) для внедрения компонента BazarBackdoor в легитимные процессы Windows, такие как cmd.exe (командная строка), explorer.exe(проводник) и svchost.exe. Запланированная задача создается для загрузки BazarLoader каждый раз, когда пользователь инциализируется в системе.
BazarBackdoor также загружает маяк Cobalt Strike, обеспечивающий злоумышленникам использовать так называемый "Remote Access" (удалённый доступ), которые затем начинают устанавливать BloodHound и Lasagne, для сопоставления домена Windows и извлечения учетных данных.
Злоумышленники стали использовать BazarLoader, поскольку защитные решения стали чаще обнаруживать TrickBot. Вредоносная программа BazarBackdoor создана с целью быть незаметной и загружать более сложные функции только через сторонние компоненты, такие как маяки Cobalt Strike. Такая скрытность позволяет преступной группировке сохранять персистентность на системе, даже если вредоносное ПО обнаруживается антивирусом.
В конечном итоге злоумышленники загружают программу-вымогатель Ryuk в сеть и требуют у жертвы огромный выкуп. SecurityLab сообщает, что атака с использованием Ryuk занимает около 29 часов – начиная от отправки жертве электронного письма для фишинг-атаки и заканчивая полной взятией системы "взаложники" и её шифровка.
Сейчас уже подобное не прокатит, ведь специалисты из Microsoft уже "обрубили".
