Dimulai dengan mengirim email
BazarBackdoor secara umum dimulai dengan campaign phishing, yaitu mengirim email kepada karyawan melalui platform pemasaran Sendgrid. Email dibuat seolah mengenai penggajian COVID-19, keluhan pelanggan, atau daftar pemutusan hubungan kerja karyawan, yang akan dihosting di Google docs. Setelah membuka email, iming-iming akan ditampilkan sebagai dokumen PDF, tetapi ketika dibuka tidak akan terbuka dan justru meminta karyawan untuk mengklik tautan mereka untuk melihatnya.
Di sini, campaign dibuat dengan hati-hati agar terlihat familier, karena penyerang telah merancang halaman landing dengan ikon yang serupa dari apa yang telah mereka kirimkan dalam email. Ini tidak akan menimbulkan kecurigaan terhadap target. Tema sebagai penggajian COVID-19 diatur seperti PreviewReport.DOC dan Pengaduan Pelanggan sebagai DownloadReport.pdf. Ini sebenarnya executable, seperti diceritakan oleh James. Dan karena Windows berhenti menampilkan ekstensi file lengkap, mereka dilihat sebagai DOC dan PDF standar sesuai target.
Berjalan secara Diam-diam
Eksekusi dilakukan dengan cara loader ke backdoor dalam sistem, yang setelah diklik, akan terhubung ke server C2 penyerang untuk pengadaan muatan. Satu hal yang perlu diperhatikan di sini adalah, trojan BazarBackdoor ini menghubungi server C2 melalui Emercoin Decentralized DNS untuk menemukan domain Bazar. Dan karena Emercoin DNS adalah satu-satunya yang menggunakan nama host Bazar dan juga didesentralisasi, sulit bagi lembaga penegak hukum untuk melacak nama host tersebut.
Setelah terhubung, BazarBackdoor mendapatkan muatan terenkripsi XOR dan menginjectkan ke proses svchost, yang disimpan di C: \ Windows \ system32 \ svchost.exe. Ini dilakukan dengan menggunakan Proses Hallowing dan Proses Doppelganging, seperti yang diceritakan oleh Vitali Kremez. Setelah ini, backdoor akan mengunduh penetration testing Cobalt Strike dan toolkit post-exploit pada sistem host, yang sebenarnya akan digunakan untuk penilaian keamanan jaringan. Crack ini akan membantu penyerang untuk mendapatkan kendali, menyebar, dan bahkan menjual akses seluruh jaringan yang dikompromikan kepada orang lain.
Malware baru ini diyakini dikembangkan oleh pembuat malware Trickbot, hal ini kuat karena mereka memiliki banyak kesamaan di antara keduanya. Beberapa ditemukan dalam hal kode, infrastruktur, dan enkripsi yang dapat dieksekusi.
Posting Komentar
Posting Komentar