ICEDID kötü amaçlı yazılımın dağılımı, mevcut e-posta konuşma konularını kaçıran yeni bir kampanya nedeniyle bir başak gördü ve lekelenmesi zor olan kötü amaçlı yükler enjekte ediyor.
IceDID, ilk önce 2017 yılında ilk görülen modüler bir bankacılık Trojan'dır, çoğunlukla diğer yükleyiciler veya fidye yazılımı gibi ikinci evre kötü amaçlı yazılımları dağıtmak için kullanılır.
Operatörlerinin ağları ödün veren ve daha sonra diğer siber suçlara erişimini satan ilk erişim brokerleri olduğuna inanılmaktadır.
Devam eden IceDID kampanyası bu ay, Bulgularını yayınlamadan önce Bleeping bilgisayarıyla paylaşan Intezer'deki araştırmacılar tarafından keşfedildi.
Konuşmanın birincil yöntemi Hoşgeleme saldırısı, hedefle tartışmaya katılan bir anahtar e-posta hesabının kontrolünü üstlenmesi ve ardından iş parçacığının devamı olarak görünmesi için hazırlanmış bir kimlik avı mesajı göndermektir.
Bu nedenle, hedef, bir önceki tartışma ile ilgili bir şey olarak adlandırılan ve sunulan bir ekle bir cevap mesajı aldığında, dolandırıcılık olasılığı asgari bir şekilde indirgenir.
Intorer, kimlik bilgilerini çalmak için savunmasız Microsoft Exchange sunucularını hedef alan tehdit aktörlerini hedef alan ipuçları olduğunu açıklar, çünkü buluntukları tehlikeli bitiş noktaları halka açık ve açılmamış.
Ek olarak, bu kampanyada, analistler, daha güvenilir bir alanda yerel IP adreslerini kullanarak, iç Exchange sunucularından gönderilen kötü amaçlı e-postalar görmüş ve bu nedenle şüpheli olarak işaretlenmemektedir.
Hedeflere gönderilen e-posta eki, bir LNK ve bir DLL dosyasını çevreleyen bir ISO dosyası içeren bir zip arşividir. Eğer kurban "Document.lnk" yi çift tıklarsa, DLL, IceDID yükleyiciyi ayarlamak için başlatılır.
IceDID GZIPLOODER, ikili kaynağın kaynak bölümünde şifreli bir formda depolanır ve kod çözüldükten sonra, belleğe yerleştirilir ve yürütülür.
Ana bilgisayar daha sonra parmak izi ve temel sistem bilgisi bir HTTP GET isteği aracılığıyla C2'ye (Geliştiriciler [.] Top) gönderilir.
Son olarak, C2, Virüslü makineye bir yük göndererek yanıt verir, ancak bu adım, Inzerer'in analizi sırasında yapılmamıştır.
Intezer'in raporu mevcut ve devam eden etkinliklere odaklanırken, bu kampanya başladığında belirsizdir. Beş ay önce başlaması mümkündür.
2021 Kasım'da, bir Trend Micro raporu, maruz kalan Microsoft Exchange sunucularında, dahili e-posta cevap zincirlerini kaçırmak ve kötü amaçlı yazılımlara bağlanmış belgeleri yaymak için Proxyshell ve Proxylogon Güvenlik Açıkları kullanılarak bir saldırı dalgasını açıkladı.
O kampanyanın arkasındaki aktörler, QBOT, IceDID ve Squirrelwaffle dahil olmak üzere kötü amaçlı yazılım bolluğu ile çalıştığı bilinen 'TR' olduğuna inanılıyordu.
TR Distro Aktörünü görüyoruz (onlara Chaserldr diyoruz), PROXYLOGON / PROXYSHELL'İNE GÖRÜNTÜLENDİRMEK İÇİN PROXYLOGON / PROXYSHELL'e DAVROL EDİLEN Exchange Sunucuları, AccessCt'a geri dönmeyi gösterir. 1 / x https://t.co/paoo2vm4su
Her üç kötü amaçlı yazılım parçasının tümü daha önce kötü niyetli yükler sunmak için e-posta iş parçacığı kaçırıldı [1, 2, 3, 4].
Intezer, TABRISE TA551, DDL'nin ikili proxy uygulaması ve şifre korumalı zip dosyaları için REGSVR32.EXE'nin kullanımı nedeniyle bu kez The The TA551'i yerleştirir.
Bu iki tehdit grubu arasındaki bağlantı net değil, ancak orada bazı örtüşme veya hatta altta yatan bir bağlantı olması mümkün değil.
Microsoft, Proxylogon ve Proxyshell güvenlik açıkları için Microsoft'un düzeltmeleri, bu nedenle en son güvenlik güncellemelerini uygulamak için bir yıllık işaretine yaklaşıyoruz, bu yüzden en son güvenlik güncellemelerini uygulamak iyi gecikmiş.
Bunu yapmamak, Exchange Sunucularınızı, şirketinizi ve çalışanlarınızı phishing aktörlerine, siber-casusluk ve fidye yazılım enfeksiyonlarına avlanır.
Microsoft Exchange Sunucuları Küba Ransomware'i dağıtmak için saldırdı
Android Malware ESCOBAR, Google Authenticator MFA Kodlarınızı Çalıştırır
Microsoft Mart 2022 Yama Salı Düzeltmeler 71 Kusurlar, 3 Sıfır Gün
Sharkbot Malware Google Play'de Android Antivirüs Olarak Hide
Teabot Kötü amaçlı yazılım, ABD kullanıcılarını hedeflemek için Google Play Store'a geri döner
Kaynak: Bleeping Computer