Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
ДомIcedID Тема
Злоумышленники используют скомпрометированные серверы Microsoft Exchange для запуска атак с перехватом потоков, которые заражают жертв вредоносным ПО IcedID.
Злоумышленники используют взломанные серверы Microsoft Exchange для рассылки фишинговых писем, содержащих вредоносные вложения, которые заражают жертв вредоносным ПО IcedID.
Последняя кампания, которая наблюдалась в середине марта и, похоже, все еще продолжается, была нацелена на организации в секторах энергетики, здравоохранения, права и фармацевтики. IcedID, впервые обнаруженный в 2017 году, изначально задумывался как способ кражи банковских учетных данных. Однако с тех пор вредоносное ПО эволюционировало и теперь используется для развертывания полезных данных второго этапа на компьютерах жертв.
«В новой кампании IcedID мы обнаружили дальнейшее развитие техники злоумышленников», — заявили Джоаким Кеннеди и Райан Робинсон, исследователи Intezer, в анализе кампании в понедельник. «Злоумышленник теперь использует скомпрометированные серверы Microsoft Exchange для отправки фишинговых писем с украденной учетной записи».
Исследователи заметили фишинговые электронные письма, используемые в атаках, с предупреждением жертв о необработанных платежах по недавним контрактам и ссылкой на юридическую документацию в прикрепленном файле. В электронных письмах используется перехват потоков, когда злоумышленники используют законные, скомпрометированные электронные письма и вставляются в существующие разговоры, что делает фишинговую атаку более убедительной и трудной для обнаружения конечным пользователем.
Прикрепленный zip-архив защищен паролем, пароль указан в электронном письме. В архиве есть один ISO-файл. Когда жертва щелкает файл, она использует утилиту командной строки «regsvr32» для выполнения файла DLL. По словам исследователей, это метод, позволяющий обойти защиту, позволяя прокси-серверу выполнить вредоносный код в main.dll.
«Полезная нагрузка также перешла от использования офисных документов к использованию файлов ISO с файлом Windows LNK и файлом DLL», — сказали Кеннеди и Робинсон. «Использование файлов ISO позволяет злоумышленнику обходить средства контроля Mark-of-the-Web, что приводит к запуску вредоносного ПО без предупреждения пользователя».
«В новой кампании IcedID мы обнаружили дальнейшее развитие техники злоумышленников».
Файл DLL является загрузчиком полезной нагрузки IcedID, которая содержит ряд экспортируемых файлов, в основном состоящих из ненужного кода. Этот загрузчик сначала находит зашифрованные полезные данные посредством хеширования API — метода, обычно используемого вредоносными программами, чтобы не дать аналитикам и автоматизированным инструментам определить назначение кода, при этом вызовы функций Windows API разрешаются во время выполнения с использованием алгоритма хеширования. Полезная нагрузка, которая декодируется, помещается в память и выполняется, затем фиксирует машины и соединяется с сервером управления и контроля (C2) для отправки информации о машине-жертве. По словам исследователей, эта информация переносится через заголовок файлов cookie с помощью HTTP-запроса GET.
Исследователи заявили, что большинство скомпрометированных серверов Exchange, которые они наблюдали в ходе атаки, «похоже, также не обновлены и общедоступны, что делает вектор ProxyShell хорошей теорией».
«Хотя к большинству серверов Exchange, используемых для отправки фишинговых писем, может получить доступ любой человек через Интернет, мы также видели фишинговое письмо, отправленное внутри, по-видимому, на «внутренний» сервер Exchange», — сказали Кеннеди и Робинсон.
Исследователи полагают, что злоумышленник, стоящий за этой кампанией, может специализироваться в качестве брокера доступа. Вредоносное ПО ранее использовалось брокерами доступа, такими как TA577 и TA551, которые получали первоначальный доступ к организациям, прежде чем продавать этот доступ другим злоумышленникам.
Методы, используемые TA551, включают перехват диалога и защищенные паролем zip-файлы», — рассказали Кеннеди и Робинсон. «Известно также, что группа использует regsvr32.exe для выполнения подписанного двоичного прокси-сервера для вредоносных DLL.
Кеннеди сказал, что, хотя IcedID не внедряет программы-вымогатели напрямую, а вместо этого развертывает вредоносные программы или инструменты, такие как Cobalt Strike, которые затем используются для получения дальнейшего доступа в организацию, прежде чем программа-вымогатель будет запущена, семейства вымогателей, такие как Sodinokibi, Maze и Egregor, были связаны с первоначальный доступ с использованием IcedID. Исследователи подчеркнули, что внедрение обучения безопасности в организациях может помочь сотрудникам лучше обнаруживать фишинговые электронные письма, подобные тем, которые использовались в этой кампании.