BazarLoader | Tehdit Seviyesi: high | Tür: Loader

Kriptografik Tanımlayıcılar

SHA2566c499f0fb04581d0b02d532cec44b9f39c571ac5d4ae7f0b4bff6957a5bab329
MD538867e376e58b17041629a08476959fe
Dosya Türüexe
Boyut424.0 KB
İlk Görülme2021-05-18
Dosya Adıywgbs.exe
Etiketlerbazacall, BazaLoader, BazarCall, BazarLoader, exe

Malware Ailesi: BazarLoader

BazarLoader, gizli TrickBot grubu loader'dır.

TürLoader
Programlama DiliC++
Hedef PlatformWindows
C2 ProtokolüHTTPS
AmaçCobalt Strike staging
İlk Görülen Yıl2020
Diğer İsimlerBazarBackdoor

Tehdit Göstergeleri (IOC)

  • SHA256: 6c499f0fb04581d0b02d532cec44b9f39c571ac5d4ae7f0b4bff6957a5bab329
  • MD5: 38867e376e58b17041629a08476959fe

Bu örneğin tüm hash değerlerini VirusTotal üzerinde doğrulayabilirsiniz.

Sistem Temizleme Rehberi

  1. Sistemi ağdan ayırın — Loader başka zararlı yazılım indiriyor olabilir
  2. İndirilen tüm payload'ları analiz edin
  3. Tüm ağ trafiğini inceleyin, şüpheli bağlantıları kesin
  4. Antivirüs ile tam tarama yapın
  5. Sistem yenileme düşünün

YARA Kuralı İpuçları

rule BazarLoader_SHA256 {
    meta:
        description = "BazarLoader sample: 6c499f0fb04581d0"
        threat_level = "high"
        first_seen = "2021-05-18"
    condition:
        hash.sha256(0, filesize) == "6c499f0fb04581d0b02d532cec44b9f39c571ac5d4ae7f0b4bff6957a5bab329"
}

BazarLoader — Malware Profile

BazarLoader BazaLoader TrickBot group loader. xigcgabbzkswmicmkatl shared Trigona mutex. DGA 20-char campaign IDs.

Malware Type
Loader
Programming Language
C++
C2 Protocol
HTTPS
Target Systems
Windows
Also Known As (AKA)
BazarBackdoor

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (2 indicators)

IOC — BazarLoader
# SHA256 6c499f0fb04581d0b02d532cec44b9f39c571ac5d4ae7f0b4bff6957a5bab329 # MD5 38867e376e58b17041629a08476959fe
TypeValueNote
sha256 6c499f0fb04581d0b02d532cec44b9f39c571ac5d4ae7f0b4bff6957a5bab329 Sample:BazarLoader
md5 38867e376e58b17041629a08476959fe Sample:BazarLoader
Tags
bazarloaderloadermalwarehighsha256hash-analizi