Троян IcedID атакует Microsoft Exchange, перехватывая ответы в цепочке сообщений электронной почты.
В последнее время наблюдается всплеск распространения вредоносного ПО IcedID. Хакеры пытаются перехватить цепь сообщений электронной почты и внедрить "зловреда" в одно из ответных сообщений. В таком случае собеседнику, получившему email, с вложенным внутри трояном, сложно заподозрить неладное.
IcedID - это модульный банковский троян, впервые замеченный еще в 2017 году и используемый в основном для развертывания вредоносных программ второго уровня, таких как программы-загрузчики или программы-вымогатели.
Считается, что его операторы являются посредниками первоначального доступа, которые взламывают сети, а затем продают доступ другим киберпреступникам.
Проводимая в настоящее время атакующая кампания IcedID была обнаружена в этом месяце исследователями из компании Intezer.
Как работает атака
Основной метод атаки - "перехват разговора" - заключается в получении контроля над ключевым почтовым ящиком, участвующим в дискуссии, а затем отправке фишингового сообщения, созданного как продолжение темы.
Таким образом, когда объект атаки получает ответное сообщение с вложением, названным и представленным как нечто относящееся к предыдущему обсуждению, шансы заподозрить обман сводятся к минимуму.
Intezer объясняет, что есть признаки, указывающие на то, что для кражи учетных данных злоумышленники используют уязвимость серверов Microsoft Exchange, так как многие из найденных ими взломанных оконечных устройств находятся в публичном доступе и не имеют патчей безопасности.
Кроме того, аналитики обнаружили вредоносные электронные письма, отправленные с внутренних серверов Exchange, использующих локальные IP-адреса в более надежном домене, и поэтому вряд ли будут отмечены как подозрительные.
Вложение, отправляемое по электронной почте, представляет собой ZIP-архив, содержащий ISO-файл, который, в свою очередь, содержит LNK и DLL-файл. Если жертва дважды щелкает по "document.lnk", запускается DLL для установки загрузчика IcedID.
GZip-загрузчик IcedID хранится в зашифрованном виде в разделе ресурсов двоичного файла, а после декодирования помещается в память и исполняется.
Затем с хоста снимается отпечаток устройства, и основная системная информация отправляется на C2 (yourgroceries[.]top) через HTTP GET-запрос.
Наконец, C2 отвечает отправкой полезной нагрузки на зараженную машину, хотя этот шаг не был выполнен во время анализа Intezer.
Что общего с атаками ноября 2021 года?
Хотя отчет Intezer сосредоточен на текущей и продолжающейся активности, неясно, когда началась эта кампания. Возможно, она началась пять месяцев назад.
В ноябре 2021 года в отчете Trend Micro описывалась волна атак с использованием уязвимостей ProxyShell и ProxyLogon в открытых серверах Microsoft Exchange для перехвата цепочек ответов внутренней электронной почты и распространения документов с вредоносным ПО.
Предполагается, что за этой кампанией стояли "TR", известные по работе с множеством вредоносных программ, включая Qbot, IcedID и SquirrelWaffle.
Все три вредоносные программы ранее были вовлечены в захват потоков электронной почты для доставки троянов к цели атаки.
На этот раз Intezer обращает внимание на угрозу TA551 из-за использования regsvr32.exe для выполнения бинарного прокси DDL и защищенных паролем ZIP-файлов.
Связь между этими двумя группами угроз неясна, но не исключено, что они частично совпадают или даже связаны между собой.
Обновите свои серверы Exchange
Скоро исполнится год с момента публикации компанией Microsoft исправлений для уязвимостей ProxyLogon и ProxyShell, поэтому применение последних обновлений безопасности уже давно назрело.
Если этого не сделать, ваши серверы Exchange, компания и сотрудники станут жертвами фишинга, кибершпионажа и заражения вымогательским ПО.
