Icedid kötü amaçlı yazılım kimlik avı kampanyalarının arkasındaki tehdit aktörleri, farklı hedeflere karşı neyin en iyi olduğunu belirleyecek çok çeşitli dağıtım yöntemlerini kullanıyor.
Cymru Team'deki araştırmacılar, Eylül 2022'de, hepsi etkinliği değerlendirmelerine yardımcı olmak için olduğuna inandıkları biraz farklı enfeksiyon yollarını takip eden çeşitli kampanyalar gözlemlediler.
Ayrıca, analistler kampanyalarda kullanılan komut ve kontrol sunucusu (C2) IP'lerinin yönetiminde değişiklikler fark ettiler ve şimdi özensizlik belirtileri gösteriyorlar.
Buzlu kötü amaçlı yazılım 2017 yılında modüler bir bankacılık Truva atı olarak başladı, ancak o zamandan beri kurumsal ağlara ilk erişim elde etmek için yaygın olarak kullanılan bir kötü amaçlı yazılım damlasına dönüştü.
Kötü amaçlı yazılım damlaları, enfekte olmuş bir cihaza sessizce daha fazla kötü amaçlı yazılım yüklemek için kullanılır, tehdit aktörlerinin bir hedef sistemde bir dayanak kazanmasına ve daha sonra ağ genelinde daha güçlü yükler dağıtmasına yardımcı olur.
Tipik olarak, kötü amaçlı yazılımlar operatörleri, hizmetlerini saldırının bu bölümünü dış kaynaklardan sağlayan ve kontrat sonrası faaliyetlere odaklanan diğer siber suçlulara satar.
Bu kampanyalar, ISO dosyaları, arşivler veya makro yüklü belge ekleri aracılığıyla ICIDID'yi bırakmak için kimlik avı e-postalarını kullanır.
Oradan, Icedid, ev sahibinde kalıcı olarak kaçmak ve kalıcılık oluşturmak için mükemmel bir iş çıkarır.
Sonunda, kötü amaçlı yazılım, HTTPS aracılığıyla C2 ile iletişim kurmak için bir proxy oluşturur ve operatörleri tarafından yönlendirilen ek yükler getirir.
13-21 Eylül arasında, CymRU ekibi analistleri, hedefler üzerinde aşağıdaki farklı buzlu dağıtım yöntemlerini fark ettiler:
Bu kampanyalar ya İtalyan dili ya da İngilizce kullandı, birincisi ikincisinden daha küçük ölçekli başarıya sahipti.
Hangi yöntemlerin en etkili olduğu açısından, Team Cymru, ISO → LNK zincirini kullanan kampanyanın en başarılı olduğunu ve ardından oyun çatlak yemini kullanan Privateloader kampanyaları olduğunu söylüyor.
Öte yandan, CHM dosyalarını kullanan kampanyalar, muhtemelen geçici testler için sınırlı ölçekte kullanılan en az başarılı olanlardı.
İngilizce konuşan kullanıcıları hedefleyen ancak İtalyanca'yı "görüntüle" düğmesi için kullanan excel dosyaları, bunu bir sahtekarlık işareti olarak kabul eden hedefleri mağdur edemedi.
Ekip Cymru raporu, "Bu metrikler, aktörlerin de izlediği tehdit sayılarıdır ve tıpkı diğer tüm işler gibi gelecekteki eylemlerini etkileyebilir."
Eylül ortasından itibaren, IcedID operatörleri C2 sunucuları için IP adresi ve etki alanı yeniden kullanımını denemeye başladılar, daha önce her kampanya için benzersiz IP'ler kullandılar. Ancak, bu ay sonunda geri döndü.
Bir başka dikkate değer değişiklik, daha önce yeni kayıtlı alanları engelleyen güvenlik sistemlerinden ve güvenlik duvarlarından kaçınmasına yardımcı olmak için ortalama 31 gün boyunca ortalama 31 gün boyunca park edilmiş olan IP adreslerinin daha kısa bir ömrüdür.
Şimdi, Icicid, sadece birkaç gün önce kayıtlı C2S için “taze” alanlar kullanıyor ve yerleşik yöntemlerine kıyasla bakım eksikliği gösteriyor.
Bununla birlikte, Team Cymru, bunun tehdit aktörlerinin diğer altyapı etkinleştirilmesinden önce yeni komuta ve kontrol sunucularını çevrimiçi olarak getirdikleri ve iletişimin kırılmasına neden olduğu özensiz provizyona yol açtığını söyledi.
Araştırmacılar, "İzlediğimiz diğer C2'lerin aksine, bir kampanyada kullanılmadan ortalama 31 gün önce kaydedildi, bu alan C2 olmadan sadece bir gün önce kaydedilen ilk alandı."
Diyerek şöyle devam etti: "Kampanyanın normal olan bu IP'ye atandı, ancak T2 iletişimi hiç kurulmamış gibi görünüyor. Potansiyel kurban trafiği C2'ye vuruyor, ancak hiçbir yere gitmiyor."
Kötü amaçlı yazılım kampanyası için bir altyapı erozyonu görmek iyi olsa da, son kullanıcılar enfeksiyonu önlemek için buna güvenemezler.
Her zaman olduğu gibi, buzlu bir enfeksiyon şansını en aza indirmenin en iyi yolu, sahtekarlık belirtileri veya kimlik avı belirtileri için gelen e -postaları dikkatlice gözden geçirmek ve istenmeyen tüm iletişimleri şüphe ile tedavi etmektir.
Geri dönme kimlik avı saldırıları sosyal mühendislik taktiklerini geliştiriyor
Lazarus Hackers, Crypto.com iş teklifleri aracılığıyla macOS kötü amaçlı yazılımları bırakın
VMware, Microsoft yaygın Chromeloader kötü amaçlı yazılım saldırılarını uyardı
Bilgisayar korsanları Putty SSH müşterisini Backdoor Media Company'ye Trojanize
Lampion kötü amaçlı yazılım, kimlik avı saldırılarına geri döner Wetransfer'ı kötüye kullanıyor
Kaynak: Bleeping Computer