IcedID kötü amaçlı yazılım kimlik avı kampanyalarının arkasındaki tehdit aktörleri, muhtemelen farklı hedeflere karşı en iyi sonucu vereni belirlemek için çok çeşitli dağıtım yöntemleri kullanıyor.
Cymru’daki araştırmacılar, Eylül 2022’de, hepsinin etkinliği değerlendirmelerine yardımcı olduğuna inandıkları biraz farklı enfeksiyon yollarını izleyen birkaç kampanya gözlemlediler.
Ayrıca analistler, kampanyalarda kullanılan C2 komuta ve kontrol sunucusu (C2) IP’lerinin yönetimindeki değişiklikleri fark ettiler ve şimdi özensizlik belirtileri gösteriyor.
IcedID kötü amaçlı yazılımı
IcedID kötü amaçlı yazılımı, modüler bir bankacılık truva atı olarak 2017’de başladı ancak o zamandan beri kurumsal ağlara ilk erişim sağlamak için yaygın olarak kullanılan bir kötü amaçlı yazılım düşürücüye dönüştü.
Kötü amaçlı yazılım düşürücüler, virüs bulaşmış bir cihaza daha fazla kötü amaçlı yazılımı sessizce yüklemek için kullanılır ve tehdit aktörlerinin hedef sistemde bir yer edinmesine ve ardından ağ genelinde daha güçlü yükler dağıtmasına yardımcı olur.
Tipik olarak, kötü amaçlı yazılım düşürücü operatörleri, hizmetlerini saldırının bu bölümünü dışarıdan temin eden ve taviz sonrası faaliyetlere odaklanan diğer siber suçlulara satar.
Bu kampanyalar kimlik avı e-postaları IcedID’yi şu şekilde bırakmak için ISO dosyalarıarşivler veya makro yüklü belge ekler.
Oradan, IcedID, tespitten kaçınmak ve ana bilgisayarda kalıcılık sağlamak için mükemmel bir iş çıkarır.
Sonunda, kötü amaçlı yazılım, HTTPS aracılığıyla C2 ile iletişim kurmak için bir proxy kurar ve operatörleri tarafından yönlendirildiği gibi ek yükler getirir.
Teslimat zincirinin çeşitlendirilmesi
13 ve 21 Eylül tarihleri arasında Cymru analistleri, hedeflere IcedID’nin aşağıdaki farklı dağıtım yöntemlerini fark ettiler:
- Şifre Korumalı ZIP -> ISO -> LNK -> JS -> [CMD or BAT] -> DLL
- Şifre Korumalı ZIP -> ISO -> CHM -> DLL
- Parola Korumalı ZIP -> ISO -> LNK -> BAT -> DLL
- Makrolarla birleştirilmiş kötü amaçlı Word veya Excel belgeleri
- Doğrudan PrivateLoader kurulum başına ödeme hizmeti aracılığıyla teslim edilir
Bu kampanyalarda ya İtalyanca ya da İngilizce kullanıldı, birincisi ikincisinden daha küçük ölçekli başarıya sahipti.
Hangi yöntemlerin en etkili olduğu konusunda Cymru, ISO → LNK zincirini kullanan kampanyanın en başarılı olduğunu ve bunu oyun crack cazibesi kullanan PrivateLoader kampanyalarının izlediğini belirtiyor.
Öte yandan, CHM dosyalarını kullanan kampanyalar en az başarılı olanlardı ve muhtemelen geçici testler için sınırlı bir ölçekte kullanıldı.
İngilizce konuşan kullanıcıları hedefleyen ancak “Görüntüle” düğmesi için İtalyanca kullanan Excel dosyaları da, bunu muhtemelen bir dolandırıcılık işareti olarak gören hedefleri mağdur etmeyi başaramadı.
“Bu ölçümler, tehdit aktörlerinin de izlediği sayılardır ve tıpkı diğer tüm işletmeler gibi gelecekteki eylemlerini etkileyebilir” dedi. Galler raporu.
Özensiz mi büyüyorsun?
Eylül ayının ortasından itibaren IcedID operatörleri, C2 sunucuları için IP adresi ve alan yeniden kullanımını denemeye başladılar, oysa daha önce her kampanya için benzersiz IP’ler kullanıyorlardı. Ancak bu ay sonunda geri alındı.
Dikkate değer bir başka değişiklik de, IcedID C2’ler olarak kullanılan ve yeni kayıtlı alanları engelleyen güvenlik sistemlerinden ve güvenlik duvarlarından kaçmaya yardımcı olmak için etkinleştirilmeden önce ortalama 31 gün park edilmiş olan IP adreslerinin daha kısa ömürlü olmasıdır.
Şimdi, IcedID, yalnızca birkaç gün önce kaydedilen C2’leri için “taze” alan adları kullanıyor ve bu, yerleşik yöntemlerine kıyasla bakım eksikliğini gösteriyor.
Ancak Cymru, bunun, tehdit aktörlerinin diğer altyapı etkinleştirilmeden önce yeni komuta ve kontrol sunucularını çevrimiçi hale getirerek iletişimin kesilmesine neden olduğu özensiz tedarike yol açtığını söylüyor.
Araştırmacılar, “Bir kampanyada kullanılmadan ortalama 31 gün önce kaydedilen ve izlediğimiz diğer C2’lerin aksine, bu alan adı C2 olmadan sadece bir gün önce kaydedilen ilk alan oldu” dedi.
“Bu IP’ye kampanyanın yapıldığı gün atandı, bu normal, ancak T2 iletişimi hiç kurulmamış görünüyor. Potansiyel kurban trafiği C2’yi vuruyor, ancak hiçbir yere gitmiyor.”
Kötü amaçlı yazılım kampanyası için bir altyapı erozyonu görmek güzel olsa da, son kullanıcılar bulaşmayı önlemek için buna güvenemezler.
Her zaman olduğu gibi, bir IcedID enfeksiyonu olasılığını en aza indirmenin en iyi yolu, gelen e-postaları dolandırıcılık veya kimlik avı belirtileri açısından dikkatlice incelemek ve istenmeyen tüm iletişimleri şüpheyle ele almaktır.