IceID-Malware infiltriert Active Directory-Domäne
Bei einem bemerkenswerten IcedID-Malware-Angriff drang der Angreifer in weniger als 24 Stunden in die Active Directory-Domäne des Opfers ein, wobei der Übergang von der Erstinfektion zur lateralen Verlagerung in weniger als 60 Minuten erfolgte.
Die Forscher von Cybereason entdeckten, dass die Infektionskette des neuen Angriffs mit einer ZIP-Archiv-basierten ISO-Image-Datei beginnt, die zur Ausführung der IcedID-Nutzlast führt. IcedID stellt dann die Persistenz her, indem es eine geplante Aufgabe startet und eine Verbindung zu einem Remote-Server herstellt, um einen Cobalt Strike Beacon und andere Nutzlasten der nächsten Stufe herunterzuladen. Nach einer seitlichen Netzwerkbewegung verteilt IcedID den Cobalt Strike Beacon an alle Arbeitsstationen, bevor der Atera-Agent bereitgestellt wird.
IcedID, auch bekannt als BokBot, ist ein Banking-Trojaner, der mit der Bedrohungsgruppe TA551 in Verbindung gebracht wird und seit 2017 zum Diebstahl von Finanzdaten seiner Opfer verwendet wird. Laut Cybereason wurde IcedID in letzter Zeit als Dropper für andere Malware-Familien sowie als Tool für Erstzugangs-Broker verwendet.
Laut Cybereason haben die Angreifer einige Taktiken, Techniken und Verfahren (TTP) von anderen Gruppen übernommen und verweisen auf "mehrere" TTPs, die in IcedID-Angriffen gesehen wurden, die Conti, Lockbit, FiveHands und anderen zugeschrieben werden.
Der Angreifer folgte einer "Routine von Aufklärungsbefehlen, Diebstahl von Anmeldeinformationen, seitlicher Bewegung durch Missbrauch von Windows-Protokollen und Ausführung von Cobalt Strike" auf dem kompromittierten Rechner, so Cybereason in einem Blogbeitrag. Die Exfiltration der Daten des Opfers begann zwei Tage nach der Erstinfektion.
Der Bereitstellungsmechanismus besteht in diesem Fall darin, dass ein Opfer auf ein Archiv zugreift. Das Opfer doppelklickt dann auf die ISO-Datei, wodurch ein virtueller Datenträger erstellt wird. Das Opfer navigiert dann zu dem virtuellen Laufwerk und wählt die einzige sichtbare Datei aus, eine LNK-Datei. Die LNK-Datei führt dann eine Batch-Datei aus, die eine DLL in einem temporären Ordner ablegt und sie mit rundll32.exe ausführt. Rundll32.exe führt die DLL aus, die Netzwerkverbindungen zu IcedID-bezogenen Domänen herstellt und die IcedID-Nutzdaten herunterlädt. Die IcedID-Nutzlast wird schließlich in den Prozess geladen.
Die Quellen für diesen Artikel sind ein Artikel von TheHackerNews
Sehen Sie sich diese Nachricht auf unserem Youtube-Kanal an: https://www.youtube.com/watch?v=GjMOF4F4uSo