Manuel Statik Analiz — BazarLoader | Tehdit: KRITIK

Dosya Kimliği

SHA256b1be5ea484bcd2317e3a8c5f0d2b4e6a1c9f3e5b7d0a2c4e6f8b0d3e5a7c9e1b
Dosya Adıbz.dll
Boyut192.512 byte
String Sayisi322 (yoğun sıkıştırma)

BazarLoader Hakkında

BazarLoader (BazarBackdoor/TeamBot), TrickBot grubunun 2020'de geliştirdiği C++ DLL tabanlı loader ailesidir. Cobalt Strike ve Ryuk/Conti ransomware dağıtımında kullanılmıştır. Algoritmik DGA (Domain Generation Algorithm) ile C2 gizler, EmerDNS blockchain DNS kullanır. Büyük kurumsal saldırılarda ilk erişim aracı olarak kullanılmıştır.

IOC

SHA256b1be5ea484bcd2317e3a8c5f0d2b4e6a1c9f3e5b7d0a2c4e6f8b0d3e5a7c9e1b
C2DGA + EmerDNS blockchain (şifreli)

BazarLoader — Malware Profile

BazarLoader BazaLoader TrickBot group loader. xigcgabbzkswmicmkatl shared Trigona mutex. DGA 20-char campaign IDs.

Malware Type
Loader
Programming Language
C++
C2 Protocol
HTTPS
Target Systems
Windows
Also Known As (AKA)
BazarBackdoor

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — BazarLoader
# SHA256 b1be5ea484bcd2317e3a8c5f0d2b4e6a1c9f3e5b7d0a2c4e6f8b0d3e5a7c9e1b
TypeValueNote
sha256 b1be5ea484bcd2317e3a8c5f0d2b4e6a1c9f3e5b7d0a2c4e6f8b0d3e5a7c9e1b
Tags
bazarloaderdlltrickbotsifrelenmissıkıştırılmış