IcedID kötü amaçlı yazılımının dağıtımı, mevcut e-posta konuşma dizilerini ele geçiren ve tespit edilmesi zor olan kötü amaçlı yükleri enjekte eden yeni bir kampanya nedeniyle son zamanlarda bir artış gördü.
IcedID (şimdiki değeri) modüler bankacılık truva atı İlk olarak 2017’de tespit edildi, esas olarak diğer yükleyiciler veya fidye yazılımları gibi ikinci aşama kötü amaçlı yazılımları dağıtmak için kullanıldı.
Operatörlerinin, ağları tehlikeye atan ve ardından erişimi diğer siber suçlulara satan ilk erişim aracıları olduğuna inanılıyor.
Devam eden IcedID kampanyası, bulgularını yayınlanmadan önce Bleeping Computer ile paylaşan Intezer’deki araştırmacılar tarafından bu ay keşfedildi.
Saldırı nasıl çalışır?
Konuşma ele geçirme saldırısının birincil yöntemi, hedefle bir tartışmaya katılan önemli bir e-posta hesabının kontrolünü üstlenmek ve ardından konunun devamı olarak görünecek şekilde hazırlanmış bir kimlik avı mesajı göndermektir.
Bu nedenle, hedef, önceki tartışmayla ilgili bir şey olarak adlandırılan ve sunulan bir ek içeren bir yanıt mesajı aldığında, dolandırıcılıktan şüphelenme şansı en aza indirgenir.
Intezer, güvenlik açığı bulunan Microsoft Exchange sunucularını kimlik bilgilerini çalmak için hedef alan tehdit aktörlerine işaret eden ipuçları olduğunu, buldukları güvenliği ihlal edilmiş uç noktaların birçoğunun halka açık ve yama uygulanmamış olduğunu açıklıyor.
Ek olarak, bu kampanyada analistler, daha güvenilir bir etki alanındaki yerel IP adreslerini kullanarak dahili Exchange sunucularından gönderilen ve bu nedenle şüpheli olarak işaretlenme ihtimali olmayan kötü amaçlı e-postalar gördüler.
Hedeflere gönderilen e-posta eki, bir LNK ve bir DLL dosyasını kapsayan bir ISO dosyası içeren bir ZIP arşividir. Kurban “document.lnk” dosyasını çift tıklatırsa, DLL, IcedID yükleyicisini kurmak için başlatılır.
IcedID GZiploader, ikili dosyanın kaynak bölümünde şifreli bir biçimde saklanır ve kod çözüldükten sonra belleğe yerleştirilir ve yürütülür.
Daha sonra ev sahibinin parmak izi alınır ve temel sistem bilgileri C2’ye gönderilir (bakkaliye ürünleriniz).[.]üst) bir HTTP GET isteği aracılığıyla.
Son olarak, C2, Intezer’in analizi sırasında bu adım gerçekleştirilmemiş olsa da, virüslü makineye bir yük göndererek yanıt verir.
Kasım 2021 kampanyasıyla bağlantılı
Süre Intezer’in raporu mevcut ve devam eden faaliyetlere odaklanıyor, bu kampanyanın ne zaman başladığı belli değil. Beş ay önce başlamış olması mümkündür.
Kasım 2021’de bir Trend Micro raporu, açıkta kalan Microsoft Exchange sunucularında ProxyShell ve ProxyLogon güvenlik açıklarını kullanan bir saldırı dalgası tanımladı. dahili e-posta yanıt zincirlerini ele geçirin ve kötü amaçlı yazılım içeren belgeleri yaymak.
Bu kampanyanın arkasındaki aktörlerin, Qbot, IcedID ve SquirrelWaffle dahil olmak üzere çok sayıda kötü amaçlı yazılımla çalıştığı bilinen “TR” olduğuna inanılıyordu.
Her üç kötü amaçlı yazılım parçası da daha önce kötü amaçlı yükler sağlamak için e-posta ileti dizisi ele geçirme işlemine dahil olmuştu. [1, 2, 3, 4].
Intezer, DDL’nin ikili proxy yürütmesi ve parola korumalı ZIP dosyaları için regsvr32.exe’nin kullanılması nedeniyle bu kez TA551 tehdit grubunu ön plana çıkarıyor.
Bu iki tehdit grubu arasındaki bağlantı belirsiz olsa da, burada bir örtüşme veya hatta altta yatan bir bağlantı olması olası değil.
Exchange sunucularınızı güncelleyin
Microsoft’un aşağıdakiler için düzeltmeler yayınlamasından bu yana bir yıllık işarete yaklaşıyoruz. ProxyOturum açma ve ProxyKabuğu güvenlik açıkları, bu nedenle en son güvenlik güncellemelerini uygulamak için çok geç kalınmıştır.
Bunu yapmamak, Exchange sunucularınızı, şirketinizi ve çalışanlarınızı kimlik avı aktörlerinin, siber casusluğun ve fidye yazılımı enfeksiyonlarının avına bırakır.