Language
Discussione IcedID
CasaCasa > Blog > Discussione IcedID
ULTIME NOTIZIE

Discussione IcedID

Nov 30, 2023

Gli aggressori utilizzano server Microsoft Exchange compromessi per lanciare attacchi di thread-hijacking che infettano le vittime con il malware IcedID.

Gli aggressori utilizzano server Microsoft Exchange compromessi per inviare e-mail di phishing, che includono allegati dannosi che infettano le vittime con il malware IcedID.

L’ultima campagna, osservata a metà marzo e che sembra essere ancora in corso, ha preso di mira organizzazioni dei settori energetico, sanitario, legale e farmaceutico. IcedID, scoperto per la prima volta nel 2017, è stato inizialmente progettato come un modo per consentire agli aggressori di rubare credenziali bancarie. Tuttavia, da allora il malware si è evoluto e viene ora utilizzato per distribuire payload di seconda fase sui computer delle vittime.

"Nella nuova campagna IcedID abbiamo scoperto un'ulteriore evoluzione della tecnica degli autori delle minacce", hanno affermato Joakim Kennedy e Ryan Robinson, ricercatori di Intezer in un'analisi della campagna di lunedì. "L'autore della minaccia ora utilizza server Microsoft Exchange compromessi per inviare e-mail di phishing dall'account da cui ha rubato."

I ricercatori hanno osservato le e-mail di phishing utilizzate negli attacchi con un'esca che avvisava le vittime dei pagamenti non elaborati per contratti recenti e indicava la documentazione legale in un file allegato. Le e-mail utilizzano il thread-hijacking, in cui gli aggressori utilizzano e-mail legittime e compromesse e si inseriscono in conversazioni esistenti, rendendo l'attacco di phishing più convincente e difficile da rilevare per l'utente finale.

Il file di archivio zip allegato è protetto da password, con la password fornita nell'e-mail. L'archivio include un singolo file ISO. Quando una vittima fa clic sul file, utilizza l'utilità della riga di comando "regsvr32" per eseguire un file DLL, che secondo i ricercatori è una tecnica che consente l'evasione della difesa consentendo l'esecuzione proxy di codice dannoso in main.dll.

"Il carico utile si è inoltre spostato dall'utilizzo di documenti Office all'utilizzo di file ISO con un file LNK di Windows e un file DLL", hanno affermato Kennedy e Robinson. "L'uso di file ISO consente all'autore della minaccia di aggirare i controlli Mark-of-the-Web, con conseguente esecuzione del malware senza preavviso per l'utente."

"Nella nuova campagna IcedID abbiamo scoperto un'ulteriore evoluzione della tecnica degli autori delle minacce."

Il file DLL è il caricatore per il payload IcedID, che contiene una serie di esportazioni costituite principalmente da codice spazzatura. Questo caricatore individua innanzitutto il payload crittografato tramite l'hashing API, che è una tecnica comunemente utilizzata dal malware per impedire agli analisti e agli strumenti automatizzati di determinare lo scopo del codice, in cui le chiamate alle funzioni API di Windows vengono risolte in fase di runtime utilizzando un algoritmo di hashing. Il carico utile, che viene decodificato, inserito in memoria ed eseguito, quindi rileva le impronte digitali delle macchine e si connette al server di comando e controllo (C2) per inviare informazioni sulla macchina vittima. Queste informazioni vengono contrabbandate attraverso l'intestazione dei cookie tramite una richiesta HTTP GET, hanno affermato i ricercatori.

I ricercatori hanno affermato che la maggior parte dei server Exchange compromessi osservati durante l'attacco "sembrano anche essere privi di patch ed esposti pubblicamente, rendendo il vettore ProxyShell una buona teoria".

"Mentre chiunque può accedere alla maggior parte dei server Exchange utilizzati per inviare le e-mail di phishing tramite Internet, abbiamo anche riscontrato un'e-mail di phishing inviata internamente su quello che sembra essere un server Exchange 'interno'", hanno affermato Kennedy e Robinson.

I ricercatori ritengono che l’autore della minaccia dietro questa campagna possa specializzarsi come broker di accesso. Il malware è stato precedentemente utilizzato da broker di accesso, come TA577 e TA551, che ottengono un accesso iniziale alle organizzazioni prima di vendere tale accesso ad altri autori di minacce.

Le tecniche utilizzate da TA551 includono il dirottamento delle conversazioni e file zip protetti da password", hanno affermato Kennedy e Robinson. "Il gruppo è noto anche per utilizzare regsvr32.exe per l'esecuzione di proxy binari firmati per DLL dannose.

Kennedy ha affermato che sebbene IcedID non stia distribuendo direttamente il ransomware, ma distribuendo malware o strumenti come Cobalt Strike che vengono poi utilizzati per ottenere ulteriore accesso a un'organizzazione, prima che il ransomware venga eseguito, famiglie di ransomware come Sodinokibi, Maze ed Egregor sono state collegate a un primo accesso che utilizza IcedID. I ricercatori hanno sottolineato che l’implementazione della formazione sulla sicurezza nelle organizzazioni può aiutare i dipendenti a rilevare meglio le e-mail di phishing come quelle utilizzate in questa campagna.