s0534-bazar - RunkIntel

# Bazar > Tipo: **malware** · S0534 · [MITRE ATT&CK](https://attack.mitre.org/software/S0534) ## Descrição [[s0534-bazar|Bazar]] é um downloader e backdoor utilizado desde pelo menos abril de 2020, com infecções principalmente em empresas de serviços profissionais, saúde, manufatura, TI, logística e viagens nos EUA e na Europa. [[s0534-bazar|Bazar]] supostamente tem vínculos com campanhas do [[s0266-trickbot|TrickBot]] e pode ser usado para implantar malware adicional, incluindo ransomware, e para roubar dados sensíveis. É atribuído ao grupo [[g0102-conti-group|Wizard Spider]] e distribuído pelo grupo [[g1011-exotic-lily|EXOTIC LILY]] através de campanhas de spear-phishing. O [[s0534-bazar|Bazar]] é composto por um loader (BazarLoader) e um backdoor (BazarBackdoor), comúnicando-se com C2 via criptografia assimétrica e usando técnicas avançadas de evasão como Process Doppelgänging (T1055.013) e evasão de sandbox (T1497). Estabelece persistência via BITS Jobs (T1197) e executa comandos PowerShell e Windows Command Shell para reconhecimento de rede - incluindo descoberta de trusts de domínio (T1482), compartilhamentos de rede (T1135) e contas de domínio (T1087.002). O tráfego C2 é ofuscado com arquivos criptografados/codificados para dificultar inspeção de rede. [[s0534-bazar|Bazar]] frequentemente serve como precursor de implantações de ransomware, especialmente [[s0446-ryuk|Ryuk]] e [[conti|Conti]], tornando-o um implante de alto valor para acesso inicial corporativo. Pesquisadores da Mandiant e da CrowdStrike documentaram extensivamente seu uso em intrusões que culminaram em ataques de ransomware de dupla extorsão contra hospitais e indústrias críticas durante a pandemia de COVID-19. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1482-domain-trust-discovery|T1482 - Domain Trust Discovery]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - [[t1087-002-domain-account|T1087.002 - Domain Account]] - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - [[t1204-001-malicious-link|T1204.001 - Malicious Link]] - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - [[t1055-process-injection|T1055 - Process Injection]] - [[t1197-bits-jobs|T1197 - BITS Jobs]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1497-virtualizationsandbox-evasion|T1497 - Virtualization/Sandbox Evasion]] - [[t1055-013-process-doppelgnging|T1055.013 - Process Doppelgänging]] ## Grupos que Usam - [[g1011-exotic-lily|EXOTIC LILY]] - [[g0102-conti-group|Wizard Spider]] ## Detecção - **Sysmon Event ID 1** (Process Creation): monitorar processos filhos anômalos de `msiexec.exe` e execuções de PowerShell com flags `-EncodedCommand` ou `-WindowStyle Hidden` - **Sysmon Event ID 3** (Network Connection): detectar conexões saindo de processos `.dll` injetados ou de `svchost.exe` para domínios com alto TTL e resolução recente (DGA-like) - **EDR**: alertar em tentativas de Process Doppelgänging (`T1055.013`) - criação de arquivo em transação NTFS seguida de rollback; monitorar atividade de BITS Jobs (`T1197`) criando downloads fora do contexto de atualização - **Referência Sigma**: `proc_creation_win_powershell_download_patterns.yml` (Sigma HQ) para download via PowerShell com codificação base64 ## Relevância LATAM/Brasil O [[s0534-bazar|Bazar]] como precursor de ransomware [[conti|Conti]] e [[s0446-ryuk|Ryuk]] tem relevância direta para o Brasil, onde ambas as famílias de ransomware afetaram hospitais, empresas de logística e manufatura. O grupo [[g0102-conti-group|Wizard Spider]], responsável pelo desenvolvimento do [[s0534-bazar|Bazar]], opera globalmente sem restrições geográficas e seus afiliados de ransomware já foram documentados em incidentes brasileiros. Equipes de resposta a incidentes no Brasil devem tratar a detecção de BazarLoader como indicador de alto risco de ransomware iminente. ## Referências - [MITRE ATT&CK - S0534](https://attack.mitre.org/software/S0534)