Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
MaisonSujet IcedID
Les attaquants utilisent des serveurs Microsoft Exchange compromis pour lancer des attaques de détournement de threads qui infectent les victimes avec le malware IcedID.
Les attaquants utilisent des serveurs Microsoft Exchange compromis pour envoyer des e-mails de phishing, qui incluent des pièces jointes malveillantes qui infectent les victimes avec le malware IcedID.
La dernière campagne, observée à la mi-mars et qui semble toujours en cours, a ciblé des organisations des secteurs de l'énergie, de la santé, du droit et de la pharmacie. IcedID, qui a été découvert pour la première fois en 2017, a été initialement conçu pour permettre aux attaquants de voler les informations d'identification bancaires. Cependant, depuis lors, le malware a évolué et est désormais utilisé pour déployer des charges utiles de deuxième étape sur les machines des victimes.
"Dans la nouvelle campagne IcedID, nous avons découvert une nouvelle évolution de la technique des acteurs de la menace", ont déclaré lundi Joakim Kennedy et Ryan Robinson, chercheurs d'Intezer, dans une analyse de la campagne. "L'acteur malveillant utilise désormais des serveurs Microsoft Exchange compromis pour envoyer des e-mails de phishing à partir du compte sur lequel il a volé."
Les chercheurs ont observé des courriels de phishing utilisés dans les attaques avec un leurre avertissant les victimes des paiements non traités pour des contrats récents et pointant vers des documents juridiques dans un fichier joint. Les e-mails utilisent le détournement de threads, dans lequel les attaquants utilisent des e-mails légitimes et compromis et s'insèrent dans des conversations existantes, rendant l'attaque de phishing plus convaincante et difficile à détecter pour l'utilisateur final.
Le fichier d'archive zip ci-joint est protégé par mot de passe, avec le mot de passe indiqué dans l'e-mail. L'archive comprend un seul fichier ISO. Lorsqu'une victime clique sur le fichier, elle utilise l'utilitaire de ligne de commande « regsvr32 » pour exécuter un fichier DLL, qui, selon les chercheurs, est une technique qui permet d'échapper à la défense en autorisant l'exécution par proxy de code malveillant dans main.dll.
"La charge utile est également passée de l'utilisation de documents bureautiques à l'utilisation de fichiers ISO avec un fichier Windows LNK et un fichier DLL", ont déclaré Kennedy et Robinson. "L'utilisation de fichiers ISO permet à l'acteur malveillant de contourner les contrôles Mark-of-the-Web, ce qui entraîne l'exécution du logiciel malveillant sans avertissement pour l'utilisateur."
"Dans la nouvelle campagne IcedID, nous avons découvert une nouvelle évolution de la technique des acteurs malveillants."
Le fichier DLL est le chargeur de la charge utile IcedID, qui contient un certain nombre d'exportations constituées principalement de code indésirable. Ce chargeur localise d'abord la charge utile chiffrée via le hachage d'API, une technique couramment utilisée par les logiciels malveillants afin d'empêcher les analystes et les outils automatisés de déterminer l'objectif du code, où les appels de fonction API Windows sont résolus au moment de l'exécution à l'aide d'un algorithme de hachage. La charge utile, qui est décodée, placée en mémoire et exécutée, prend ensuite les empreintes digitales des machines et se connecte au serveur de commande et de contrôle (C2) pour envoyer des informations sur la machine victime. Ces informations sont passées clandestinement via l'en-tête des cookies via une requête HTTP GET, ont indiqué les chercheurs.
Les chercheurs ont déclaré que la majorité des serveurs Exchange compromis qu’ils ont observés dans le cadre de l’attaque « semblent également être non corrigés et exposés publiquement, ce qui fait du vecteur ProxyShell une bonne théorie ».
"Bien que la majorité des serveurs Exchange utilisés pour envoyer les e-mails de phishing soient accessibles à tous via Internet, nous avons également constaté un e-mail de phishing envoyé en interne sur ce qui semble être un serveur Exchange 'interne'", ont déclaré Kennedy et Robinson.
Les chercheurs pensent que l’auteur de la menace derrière cette campagne pourrait se spécialiser en tant que courtier d’accès. Le malware a déjà été utilisé par des courtiers d'accès, tels que TA577 et TA551, qui obtiennent un premier accès aux organisations avant de vendre cet accès à d'autres acteurs malveillants.
Les techniques utilisées par TA551 incluent le détournement de conversation et les fichiers zip protégés par mot de passe », ont déclaré Kennedy et Robinson. « Le groupe est également connu pour utiliser regsvr32.exe pour l'exécution de proxy binaire signé pour les DLL malveillantes.
Kennedy a déclaré que même si IcedID ne déploie pas directement de ransomware - mais plutôt des logiciels malveillants ou des outils comme Cobalt Strike qui sont ensuite utilisés pour accéder davantage à une organisation, avant que le ransomware ne soit ensuite exécuté - des familles de ransomware comme Sodinokibi, Maze et Egregor ont été connectées à un accès initial qui utilise IcedID. Les chercheurs ont souligné que la mise en œuvre d’une formation à la sécurité dans les organisations peut aider les employés à mieux détecter les e-mails de phishing comme ceux utilisés dans cette campagne.