El malware IceID se infiltra en el dominio Active Directory
En un notable ataque de malware IcedID, el agresor impactó en el dominio Active Directory de la víctima en menos de 24 horas, pasando de la infección inicial al movimiento lateral en menos de 60 minutos.
Los investigadores de Cybereason descubrieron que la cadena de infección del nuevo ataque comienza con un archivo de imagen ISO basado en un archivo ZIP, que da lugar a la ejecución de la carga útil de IcedID. A continuación, IcedID establece la persistencia mediante el lanzamiento de una tarea programada y la conexión a un servidor remoto para descargar un Cobalt Strike Beacon y otras cargas útiles de la siguiente etapa. Tras el movimiento lateral de la red, IcedID despliega la baliza Cobalt Strike en todas las estaciones de trabajo antes de desplegar el agente Atera.
IcedID, también conocido como BokBot, es un troyano bancario que ha estado vinculado al grupo de amenazas TA551 y se ha utilizado para robar información financiera de sus víctimas desde 2017. IcedID se ha utilizado recientemente como dropper para otras familias de malware, así como herramienta para brokers de acceso inicial, señala Cybereason.
Según Cybereason, los atacantes tomaron prestadas algunas tácticas, técnicas y procedimientos (TTP) de otros grupos, señalando "varias" TTP vistas en ataques IcedID atribuidos a Conti, Lockbit, FiveHands y otros.
El atacante siguió una "rutina de comandos de reconocimiento, robo de credenciales, movimiento lateral abusando de los protocolos de Windows, y ejecutando Cobalt Strike" en la máquina comprometida, dijo Cybereason en una entrada de blog. La filtración de los datos de la víctima comenzó dos días después de la infección inicial.
El mecanismo de despliegue en este caso es que cuando una víctima accede a un archivo. A continuación, la víctima hace doble clic en el archivo ISO, lo que crea un disco virtual. A continuación, la víctima navega hasta el disco virtual y selecciona el único archivo visible, que es un archivo LNK. A continuación, el archivo LNK ejecuta un archivo por lotes que coloca una DLL en una carpeta temporal y la ejecuta con rundll32.exe. Rundll32.exe ejecuta la DLL, que establece conexiones de red con dominios relacionados con IcedID y descarga la carga útil de IcedID. Finalmente, la carga útil de IcedID se carga en el proceso.
Las fuentes de este artículo incluyen un artículo de TheHackerNews
Vea esta noticia en nuestro canal de Youtube: https://www.youtube.com/watch?v=GjMOF4F4uSo