网络犯罪分子正在使用受感染的 Microsoft Exchange 服务器发送垃圾邮件,旨在用 IcedID 感染人们的 PC,
IcedID 是个坏消息,因为如果您被诱骗运行它,它会打开一个后门,允许将更多恶意软件(例如勒索软件)注入您的系统。标记通常会收到加密的 .zip 作为附件,电子邮件文本中包含密码,以及打开存档内容的说明。这样做会启动一个在计算机上部署 IcedID 的下载器。
IcedID 本身并不新鲜。IBM 的 X-Force 威胁猎手表示,他们早在 2017 年就发现了这款令人讨厌的 Windows 软件,当时它的主要目的是窃取受害者的网上银行凭证。去年,当骗子劫持 BP Chargemaster 域以发送垃圾邮件以传播 IcedID 时,它出现了。
周一,Fortinet 的 FortiGuard 实验室表示,它观察到一封发送给乌克兰燃料公司的电子邮件,其中包含一个 .zip 文件,该文件在打开时会在 PC 上掉落 IcedID。
安全供应商 Intezer 周一也表示,它已经看到不安全的 Microsoft Exchange 服务器向 IcedID 电子邮件发送垃圾邮件。该团队表示,他们在 3 月中旬发现了该活动,并表示其针对能源、医疗保健、法律和制药组织。
我们被告知服务器没有及时更新安全修复程序,从而允许不法分子利用例如ProxyShell系列漏洞来接管安装并发送恶意垃圾邮件。
Intezer 的 Joakim Kennedy 和 Ryan Robinson写道: “我们观察到的大多数原始 Exchange 服务器似乎也没有打补丁并且公开暴露,这使得 ProxyShell 矢量成为一个很好的理论。 ”
“虽然任何人都可以通过互联网访问大多数用于发送网络钓鱼电子邮件的 Exchange 服务器,但我们也看到在内部发送的网络钓鱼电子邮件似乎是一个‘内部’Exchange 服务器。”
攻击始于一封网络钓鱼电子邮件,该电子邮件在附加的受密码保护的 .zip 存档中包含有关重要文档的消息,以及邮件正文中的密码。这通常是为了防止自动扫描仪看到 .zip 内部。
此外,不法分子使用对话或线程劫持来使电子邮件看起来更有说服力。这包括回顾服务器上的电子邮件链,并伪造对标记的回复,让他们认为这是一条合法消息。此回复似乎也来自标记正在与之交谈的人,使电子邮件看起来更加合法。正如安全公司指出的那样:
对话劫持的使用是一种强大的社会工程技术,可以提高网络钓鱼的成功率。
虽然较早的活动使用 Office 文档将恶意软件投放到受害者的计算机上,但这次 IcedID 活动使用带有 Windows LNK 快捷方式文件和动态链接库 (DLL) 的 ISO 文件。
LNK 文件看起来像一个文档,但当用户双击它时,它使用操作系统的 Regsvr32 工具来执行 DLL 文件,该文件解密并运行 IcedID。
威胁研究人员写道,使用 Regsvr32 可以帮助攻击者避免检测。这是一个用于注册和注销 DLL 和嵌入式控件的命令行程序。不法分子可以使用它来躲避防病毒工具和 IT 人员的注意,“因为使用 regsvr32.exe 进行正常操作的 Windows 允许列表或误报,”MITRE ATT&CK警告说。
在这种情况下,该工具不用于正常操作,而是允许代理执行恶意代码。
在 Intezer 发现的一次尝试攻击中,加载程序代码通过一种称为 API 散列的技术在 .DLL 中定位加密的有效负载,如果成功,IcedID Gziploader 有效负载将被解码、放置在内存中并执行。研究人员解释说:“GZiploader 对机器进行指纹识别,并向命令和控制服务器发送信标,其中包含有关受感染主机的信息。” “信息是通过 HTTP GET 请求通过 cookie 标头走私的。”
在这个特定的分析中,命令和控制服务器确实响应了任何恶意命令。假设系统指纹表明不法分子感兴趣的系统,IcedID 将被指示执行进一步的操作,例如注入勒索软件、泄露数据或凭据等。
虽然 Intezer 没有在 IcedID 活动和标记为 TA551 的网络犯罪团伙之间划清界限,但分析确实注意到 Proofpoint 2021 年 6 月的一份报告,该报告强调了 TA577 和 TA551 倾向于使用 IcedID 作为其恶意软件。
“TA551 使用的技术包括会话劫持和受密码 保护的 zip文件,”Intezer 的二人组解释说。“该组织还使用 regsvr32.exe 来执行恶意 DLL 的签名二进制代理。”
他们以文件的 SHA-256 哈希和命令和控制域名的形式引用了网络防御者的四个危害指标:
ISO 文件:
3542d5179100a7644e0a747139d775dbc8d914245292209bc9038ad2413b3213
加载程序 DLL:
698a0348c4bb8fffc806a1f915592b20193229568647807e88a39d2ab81cb4c2
LNK 文件:
a17e32b43f96c8db69c979865a8732f3784c7c42714197091866473bcfac8250
IcedID GZiploader 网络:
你的杂货[.]顶部
此外,由于此类攻击需要能够检测内存中恶意文件的安全工具,因此安全公司建议使用端点扫描仪。
推荐阅读
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号
