Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
LarTópico IcedID
Os invasores estão usando servidores Microsoft Exchange comprometidos para lançar ataques de sequestro de threads que infectam as vítimas com o malware IcedID.
Os invasores estão usando servidores Microsoft Exchange comprometidos para enviar e-mails de phishing, que incluem anexos maliciosos que infectam as vítimas com o malware IcedID.
A última campanha, que foi observada em meados de Março e parece ainda estar em curso, tem como alvo organizações dos sectores energético, de saúde, jurídico e farmacêutico. O IcedID, descoberto pela primeira vez em 2017, foi inicialmente projetado como uma forma de os invasores roubarem credenciais bancárias. No entanto, desde então, o malware evoluiu e agora é usado para implantar cargas úteis de segundo estágio nas máquinas das vítimas.
“Na nova campanha IcedID descobrimos uma evolução adicional da técnica dos atores da ameaça”, disseram Joakim Kennedy e Ryan Robinson, pesquisadores da Intezer, em uma análise da campanha na segunda-feira. “O agente da ameaça agora usa servidores Microsoft Exchange comprometidos para enviar e-mails de phishing da conta da qual roubaram.”
Os pesquisadores observaram e-mails de phishing usados nos ataques como uma isca, alertando as vítimas sobre pagamentos não processados de contratos recentes e apontando para documentação legal em um arquivo anexado. Os e-mails fazem uso do sequestro de threads, em que os invasores usam e-mails legítimos e comprometidos e se inserem em conversas existentes, tornando o ataque de phishing mais convincente e difícil de ser detectado pelo usuário final.
O arquivo zip anexado é protegido por senha, com a senha fornecida no e-mail. O arquivo inclui um único arquivo ISO. Quando uma vítima clica no arquivo, ela usa o utilitário de linha de comando “regsvr32” para executar um arquivo DLL, que os pesquisadores disseram ser uma técnica que permite a evasão da defesa, permitindo a execução por proxy de código malicioso em main.dll.
“A carga útil também passou do uso de documentos de escritório para o uso de arquivos ISO com um arquivo Windows LNK e um arquivo DLL”, disseram Kennedy e Robinson. “O uso de arquivos ISO permite que o agente da ameaça contorne os controles do Mark-of-the-Web, resultando na execução do malware sem avisar o usuário.”
“Na nova campanha IcedID descobrimos uma evolução adicional da técnica dos atores da ameaça.”
O arquivo DLL é o carregador da carga útil do IcedID, que contém uma série de exportações que consistem principalmente em código indesejado. Este carregador primeiro localiza a carga criptografada por meio de hashing de API, que é uma técnica comumente usada por malware para evitar que analistas e ferramentas automatizadas determinem a finalidade do código, onde as chamadas de função da API do Windows são resolvidas em tempo de execução usando um algoritmo de hash. A carga útil, que é decodificada, colocada na memória e executada, então identifica as máquinas e se conecta ao servidor de comando e controle (C2) para enviar informações sobre a máquina vítima. Essas informações são contrabandeadas através do cabeçalho dos cookies por meio de uma solicitação HTTP GET, disseram os pesquisadores.
Os pesquisadores disseram que a maioria dos servidores Exchange comprometidos que observaram como parte do ataque “parecem também não corrigidos e expostos publicamente, tornando o vetor ProxyShell uma boa teoria”.
“Embora a maioria dos servidores Exchange usados para enviar e-mails de phishing possam ser acessados por qualquer pessoa pela Internet, também vimos um e-mail de phishing enviado internamente no que parece ser um servidor Exchange 'interno'”, disseram Kennedy e Robinson.
Os pesquisadores acreditam que o agente da ameaça por trás desta campanha pode se especializar como corretor de acesso. O malware já foi utilizado por corretores de acesso, como TA577 e TA551, que obtêm acesso inicial às organizações antes de vendê-lo a outros atores de ameaças.
As técnicas usadas pelo TA551 incluem sequestro de conversas e arquivos zip protegidos por senha”, disseram Kennedy e Robinson. “O grupo também é conhecido por usar regsvr32.exe para execução de proxy binário assinado para DLLs maliciosas.
Kennedy disse que, embora o IcedID não esteja implantando ransomware diretamente - em vez disso, implantando malware ou ferramentas como Cobalt Strike que são usadas para obter acesso adicional a uma organização, antes que o ransomware seja executado - famílias de ransomware como Sodinokibi, Maze e Egregor foram conectadas a um acesso inicial que usa IcedID. Os pesquisadores enfatizaram que a implementação de treinamento em segurança nas organizações pode ajudar os funcionários a detectar melhor e-mails de phishing como os usados nesta campanha.