Le logiciel malveillant IceID s'infiltre dans le domaine Active Directory
Dans une attaque notable de logiciels malveillants IcedID, l'assaillant a touché le domaine Active Directory de la victime en moins de 24 heures, passant de l'infection initiale au mouvement latéral en moins de 60 minutes.
Les chercheurs de Cybereason ont découvert que la chaîne d'infection de la nouvelle attaque commence par un fichier image ISO basé sur une archive ZIP, ce qui entraîne l'exécution de la charge utile IcedID. IcedID établit ensuite la persistance en lançant une tâche planifiée et en se connectant à un serveur distant pour télécharger une balise Cobalt Strike Beacon et d'autres charges utiles de l'étape suivante. Après un déplacement latéral du réseau, IcedID déploie le Cobalt Strike Beacon sur tous les postes de travail avant de déployer l'agent Atera.
IcedID, également connu sous le nom de BokBot, est un cheval de Troie bancaire qui a été lié au groupe de menaces TA551 et a été utilisé pour voler les informations financières de ses victimes depuis 2017. IcedID a récemment été utilisé comme dropper pour d'autres familles de malwares ainsi que comme outil pour les courtiers d'accès initial, a déclaré Cybereason.
Selon Cybereason, les attaquants ont emprunté certaines tactiques, techniques et procédures (TTP) à d'autres groupes, en soulignant "plusieurs" TTP observées dans les attaques IcedID attribuées à Conti, Lockbit, FiveHands et d'autres.
L'attaquant a suivi une "routine de reconnaissance de commandes, de vol d'informations d'identification, de mouvement latéral en abusant des protocoles Windows et en exécutant Cobalt Strike" sur la machine compromise, indique Cybereason dans un billet de blog. L'exfiltration des données de la victime a commencé deux jours après l'infection initiale.
Le mécanisme de déploiement dans ce cas est le suivant : lorsqu'une victime accède à une archive. La victime double-clique alors sur le fichier ISO, ce qui crée un disque virtuel. La victime navigue ensuite sur le disque virtuel et sélectionne le seul fichier visible, qui est un fichier LNK. Le fichier LNK exécute alors un fichier batch qui place une DLL dans un dossier temporaire et l'exécute avec rundll32.exe. Rundll32.exe exécute la DLL, qui établit des connexions réseau avec des domaines liés à IcedID et télécharge la charge utile IcedID. La charge utile IcedID est finalement chargée dans le processus.
Les sources de cette pièce comprennent un article de TheHackerNews
Regardez cette nouvelle sur notre chaîne Youtube : https://www.youtube.com/watch?v=GjMOF4F4uSo.