# BazarLoader - O Loader do Ecossistema TrickBot para Ransomware > **INATIVO (2023) | Loader + Backdoor | Windows | EUA / Europa** - BazarLoader (MITRE S0534) e um loader e backdoor desenvolvido pelo grupo Wizard Spider, operadores do TrickBot. Usado desde abril de 2020 como precursor direto do ransomware Ryuk e Conti, tornou-se uma das ferramentas mais perigosas do ecossistema de ransomware de grande escala ("big game hunting") antes de ser descontinuado. > [!warning] Status > BazarLoader foi descontinuado junto com o colapso do ecossistema Conti em 2022. O **[[s1039-bumblebee|Bumblebee]]** surgiu como seu sucessor direto em marco de 2022. Amostras ainda circulam mas sem desenvolvimento ativo. ## Visão Geral **BazarLoader** (alias KEGTAP no FireEye, Team9 no NCC Group) e um malware dual-component composto por um loader ([[t1566-002-spearphishing-link|T1566.002]]) e um backdoor, desenvolvido pelo grupo por tras do [[s0266-trickbot|TrickBot]] - identificado como **[[g0102-conti-group|Wizard Spider]]**. O nome deriva do uso de dominios **EmerDNS .bazar** para comunicação C2, resistentes a sinkholing e takedowns. A plataforma BazarLoader emergiu em abril de 2020 como evolução natural do TrickBot, com duas caracteristicas distintivas: certificados digitais roubados para assinatura de executaveis, e dominios blockchain .bazar para C2 altamente resilientes. Segundo CISA e FBI, o tempo medio entre a infecção inicial por BazarLoader e o deploy de [[ryuk-ransomware|Ryuk]] era de aproximadamente **3 dias**. | Campo | Detalhe | |-------|---------| | **Tipo** | Loader + Backdoor (binarios separados) | | **Familia** | Team9 (KEGTAP loader + BEERBOT backdoor) | | **Linguagem** | C++ | | **Primeira observacao** | Abril 2020 | | **Status** | Inativo - substituido por [[s1039-bumblebee\|Bumblebee]] em 2022 | | **C2** | Dominios EmerDNS .bazar (blockchain, anti-sinkhole) | | **Alvo principal** | Redes corporativas - precursor de Ryuk / Conti | | **MITRE ID** | S0534 | ## Visão Geral Técnica ### Arquitetura Dual-Component BazarLoader opera em dois componentes separados que trabalham em conjunto: **Componente 1 - Loader (KEGTAP):** - Download e execução do backdoor via dominios .bazar - Persistência por 3 métodos simultaneos: tarefa agendada, chave de registro Winlogon (Userinit), e atalho na pasta Startup nomeado "adobe.lnk" - Certificados de assinatura de código roubados ou falsos (ex: "VB CORPORATE PTY. LTD.") - Arquivos com dupla extensao como `PreviewReport.DOC.exe` ([[t1036-007-double-file-extension|T1036.007]]) - Bypass de hooks de API: carrega ntdll.dll diretamente do disco para remover hooks de segurança ([[t1562-001-disable-tools|T1562.001]]) **Componente 2 - Backdoor (BEERBOT/Team9):** - C2 via HTTP/HTTPS (portas 80/443) para dominios .bazar - Executa 14 comandos: persistência, exfiltration, execução de payloads, discovery - Verificação de idioma russo - termina se detectado ([[t1082-system-information-discovery|T1082]]) - Identificação de administradores locais e de dominio ([[t1087-001-local-account|T1087.001]]) - Execução de [[s0154-cobalt-strike|Cobalt Strike]] beacons como segundo estagio - Injecao de código via `VirtualAllocExNuma` ([[t1055-process-injection|T1055]]) ### Cadeia de Infecção ```mermaid graph TB A["📧 Email de phishing<br/>via SendGrid / Mailchimp"] --> B["🔗 Link para Google Docs<br/>Pagina de preview falsa"] B --> C["⬇️ Download de EXE<br/>Dupla extensao .DOC.exe<br/>Certificado assinado falso"] C --> D["💉 Loader executa<br/>Bypass de API hooks<br/>ntdll do disco"] D --> E["🌐 C2 via dominio .bazar<br/>EmerDNS blockchain<br/>Anti-sinkhole"] E --> F["⚡ Download do Backdoor<br/>BEERBOT / Team9"] F --> G["🔍 Reconhecimento<br/>Admins locais e dominio<br/>nltest, Systeminfo"] G --> H["💥 Deploy Cobalt Strike<br/>Movimento lateral<br/>Ryuk / Conti ransomware"] ``` ## Timeline ```mermaid timeline title BazarLoader - Linha do Tempo 2020-04 : Primeiras amostras detectadas : Vinculo com TrickBot confirmado 2020-09 : Campanha Ryuk - healthcare EUA : CISA alerta setor de saude 2020-10 : Advisory conjunto CISA/FBI/HHS : Identificado em 100+ organizacoes 2021 : Campanhas Conti massivas : UNC1878 usa BazarLoader extensivamente 2022-02 : Vazamento do playbook Conti : Reducao abrupta de atividade 2022-03 : Bumblebee surge como substituto 2023 : BazarLoader descontinuado ``` ## TTPs MITRE ATT&CK | ID | Técnica | Uso | |----|---------|-----| | [[t1566-002-spearphishing-link\|T1566.002]] | Spearphishing Link | Emails via SendGrid com links maliciosos | | [[t1204-001-malicious-link\|T1204.001]] | Malicious Link | Usuario clica no link de preview falso | | [[t1553-002-code-signing\|T1553.002]] | Code Signing | Certificados falsos ou roubados nos EXEs | | [[t1036-007-double-file-extension\|T1036.007]] | Double File Extension | PreviewReport.DOC.exe | | [[t1055-process-injection\|T1055]] | Process Injection | VirtualAllocExNuma para injecao de código | | [[t1562-001-disable-tools\|T1562.001]] | Disable/Modify Tools | Remove API hooks carregando ntdll do disco | | [[t1547-001-registry-run-keys\|T1547.001]] | Registry Run Keys | Persistência via Winlogon/Userinit | | [[t1053-005-scheduled-task\|T1053.005]] | Scheduled Task | Duas tarefas agendadas para loader e backdoor | | [[t1087-001-local-account\|T1087.001]] | Local Account Discovery | Enumera administradores locais | | [[t1482-domain-trust-discovery\|T1482]] | Domain Trust Discovery | Usa nltest para mapear confianças de dominio | | [[t1105-ingress-tool-transfer\|T1105]] | Ingress Tool Transfer | Download de Cobalt Strike, Conti, Ryuk | | [[t1140-deobfuscatedecode-files-or-information\|T1140]] | Deobfuscaté Files | Resolve strings e artefatos em runtime | ## Impacto no Brasil / LATAM BazarLoader teve impacto indireto no Brasil como parte do ecossistema [[conti|Conti]]. Organizacoes brasileiras foram atingidas por ataques Conti que usaram BazarLoader como vetor inicial em 2021-2022. Setores afetados incluiram saúde, governo e servicos financeiros. A Anatel e outros orgaos governamentais alertaram sobre campanhas associadas. > [!info] Relevância LATAM > O modelo de ataque BazarLoader - phishing via links para documentos Google, seguido de ransomware em 3 dias - foi documentado em organizacoes brasileiras durante o pico de atividade Conti (2021-2022). O grupo [[conti|Conti]] teve varias vitimas no Brasil antes de seu colapso. ## Detecção e Caca a Ameaças ### Indicadores de Comprometimento (Comportamentais) - Processo com dupla extensao (`.DOC.exe`, `.PDF.exe`) em pastas temporarias - Criação de atalho "adobe.lnk" na pasta Startup - Modificacao da chave `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit` - Criação de duas tarefas agendadas em sequencia rapida - Conexoes DNS para dominios `.bazar` (EmerDNS) - ntdll.dll sendo lida diretamente do disco por processo nao-sistema ### Regras de Detecção ``` # Detecção de persistência BazarLoader Registry: HKLM\...\Winlogon\Userinit modificado com caminho nao-padrao Process: criação de arquivo .lnk em %APPDATA%\...\Startup\ nomeado "adobe" Task: schtasks criando duas tarefas em <60 segundos pelo mesmo processo Network: query DNS para TLD .bazar ``` ### Caca a Ameaças (KQL - Microsoft Sentinel) ```kusto // Detecta criação de atalho suspeito "adobe" na pasta Startup DeviceFileEvents | where FileName == "adobe.lnk" | where FolderPath contains "Startup" | project Timestamp, DeviceName, InitiatingProcessFileName, FolderPath ``` ## Referências - [MITRE ATT&CK S0534](https://attack.mitre.org/software/S0534/) - Entrada oficial Bazar - [Cybereason - A Bazar of Tricks](https://www.cybereason.com/blog/research/a-bazar-of-tricks-following-team9s-development-cycles) - Análise Team9 - [CISA/FBI/HHS AA20-302A](https://www.ic3.gov/CSA/2020/201102.pdf) - Advisory conjunto - [NCC Group - Team9 Analysis](https://www.nccgroup.com/research/in-depth-analysis-of-the-new-team9-malware-family/) - Análise técnica - [HHS HC3 Alert](https://www.hhs.gov/sites/default/files/bazarloader.pdf) - Alerta setor saúde