BazarLoader | Tehdit Seviyesi: high | Tür: Loader

Kriptografik Tanımlayıcılar

SHA25675de7712c3817911df0973c769c348f24593b996b513c1550260626e69a8a99d
MD5add386c35e2abd1d17bb776a7a69e2d0
Dosya Türüxls
Boyut199.5 KB
İlk Görülme2021-02-02
Dosya Adırequest_form_1612290674.xls
EtiketlerBazaLoader, BazarBackdoor, BazarCall, BazarLoader, kegtap, xls

Malware Ailesi: BazarLoader

BazarLoader, gizli TrickBot grubu loader'dır.

TürLoader
Programlama DiliC++
Hedef PlatformWindows
C2 ProtokolüHTTPS
AmaçCobalt Strike staging
İlk Görülen Yıl2020
Diğer İsimlerBazarBackdoor

Tehdit Göstergeleri (IOC)

  • SHA256: 75de7712c3817911df0973c769c348f24593b996b513c1550260626e69a8a99d
  • MD5: add386c35e2abd1d17bb776a7a69e2d0

Bu örneğin tüm hash değerlerini VirusTotal üzerinde doğrulayabilirsiniz.

Sistem Temizleme Rehberi

  1. Sistemi ağdan ayırın — Loader başka zararlı yazılım indiriyor olabilir
  2. İndirilen tüm payload'ları analiz edin
  3. Tüm ağ trafiğini inceleyin, şüpheli bağlantıları kesin
  4. Antivirüs ile tam tarama yapın
  5. Sistem yenileme düşünün

YARA Kuralı İpuçları

rule BazarLoader_SHA256 {
    meta:
        description = "BazarLoader sample: 75de7712c3817911"
        threat_level = "high"
        first_seen = "2021-02-02"
    condition:
        hash.sha256(0, filesize) == "75de7712c3817911df0973c769c348f24593b996b513c1550260626e69a8a99d"
}

BazarLoader — Malware Profile

BazarLoader BazaLoader TrickBot group loader. xigcgabbzkswmicmkatl shared Trigona mutex. DGA 20-char campaign IDs.

Malware Type
Loader
Programming Language
C++
C2 Protocol
HTTPS
Target Systems
Windows
Also Known As (AKA)
BazarBackdoor

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (2 indicators)

IOC — BazarLoader
# SHA256 75de7712c3817911df0973c769c348f24593b996b513c1550260626e69a8a99d # MD5 add386c35e2abd1d17bb776a7a69e2d0
TypeValueNote
sha256 75de7712c3817911df0973c769c348f24593b996b513c1550260626e69a8a99d Sample:BazarLoader
md5 add386c35e2abd1d17bb776a7a69e2d0 Sample:BazarLoader
Tags
bazarloaderloadermalwarehighsha256hash-analizi