Español
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
HogarHilo IcedID
Los atacantes utilizan servidores Microsoft Exchange comprometidos para lanzar ataques de secuestro de subprocesos que infectan a las víctimas con el malware IcedID.
Los atacantes utilizan servidores Microsoft Exchange comprometidos para enviar correos electrónicos de phishing, que incluyen archivos adjuntos maliciosos que infectan a las víctimas con el malware IcedID.
La última campaña, que se observó a mediados de marzo y que parece continuar, se ha dirigido a organizaciones de los sectores energético, sanitario, jurídico y farmacéutico. IcedID, que se descubrió por primera vez en 2017, se diseñó inicialmente como una forma para que los atacantes robaran credenciales bancarias. Sin embargo, desde entonces el malware ha evolucionado y ahora se utiliza para implementar cargas útiles de segunda etapa en las máquinas de las víctimas.
"En la nueva campaña IcedID hemos descubierto una mayor evolución de la técnica de los actores de amenazas", dijeron Joakim Kennedy y Ryan Robinson, investigadores de Intezer en un análisis de la campaña el lunes. "El actor de amenazas ahora utiliza servidores Microsoft Exchange comprometidos para enviar correos electrónicos de phishing desde la cuenta que robaron".
Los investigadores observaron correos electrónicos de phishing utilizados en los ataques con un señuelo que advertía a las víctimas sobre pagos no procesados de contratos recientes y señalaba documentación legal en un archivo adjunto. Los correos electrónicos utilizan el secuestro de subprocesos, mediante el cual los atacantes utilizan correos electrónicos legítimos y comprometidos y se insertan en conversaciones existentes, lo que hace que el ataque de phishing sea más convincente y difícil de detectar para el usuario final.
El archivo zip adjunto está protegido con contraseña, y la contraseña se proporciona en el correo electrónico. El archivo incluye un único archivo ISO. Cuando una víctima hace clic en el archivo, utiliza la utilidad de línea de comandos “regsvr32” para ejecutar un archivo DLL, que según los investigadores es una técnica que permite evadir la defensa al permitir la ejecución proxy de código malicioso en main.dll.
"La carga útil también ha pasado del uso de documentos de Office al uso de archivos ISO con un archivo LNK de Windows y un archivo DLL", dijeron Kennedy y Robinson. "El uso de archivos ISO permite al actor de amenazas eludir los controles de la Marca de la Web, lo que resulta en la ejecución del malware sin avisar al usuario".
"En la nueva campaña IcedID hemos descubierto una mayor evolución de la técnica de los actores de amenazas".
El archivo DLL es el cargador de la carga útil IcedID, que contiene una serie de exportaciones que consisten principalmente en código basura. Este cargador primero localiza la carga útil cifrada a través del hashing API, que es una técnica comúnmente utilizada por el malware para evitar que los analistas y las herramientas automatizadas determinen el propósito del código, donde las llamadas a la función API de Windows se resuelven en tiempo de ejecución utilizando un algoritmo hash. La carga útil, que se decodifica, se coloca en la memoria y se ejecuta, luego toma las huellas digitales de las máquinas y se conecta con el servidor de comando y control (C2) para enviar información sobre la máquina víctima. Esta información se pasa de contrabando a través del encabezado de las cookies mediante una solicitud HTTP GET, dijeron los investigadores.
Los investigadores dijeron que la mayoría de los servidores Exchange comprometidos que observaron como parte del ataque "parecen tampoco estar parcheados y expuestos públicamente, lo que hace que el vector ProxyShell sea una buena teoría".
"Si bien cualquier persona a través de Internet puede acceder a la mayoría de los servidores Exchange utilizados para enviar correos electrónicos de phishing, también hemos visto un correo electrónico de phishing enviado internamente en lo que parece ser un servidor Exchange 'interno'", dijeron Kennedy y Robinson.
Los investigadores creen que el actor de amenazas detrás de esta campaña puede especializarse como intermediario de acceso. El malware ha sido utilizado anteriormente por agentes de acceso, como TA577 y TA551, que obtienen acceso inicial a organizaciones antes de vender ese acceso a otros actores de amenazas.
Las técnicas utilizadas por TA551 incluyen el secuestro de conversaciones y archivos zip protegidos con contraseña", dijeron Kennedy y Robinson. "También se sabe que el grupo usa regsvr32.exe para la ejecución de proxy binario firmado para archivos DLL maliciosos.
Kennedy dijo que si bien IcedID no implementa ransomware directamente, sino que implementa malware o herramientas como Cobalt Strike que luego se utilizan para obtener mayor acceso a una organización, antes de que se ejecute el ransomware, familias de ransomware como Sodinokibi, Maze y Egregor se han conectado a un acceso inicial que utiliza IcedID. Los investigadores destacaron que implementar capacitación en seguridad en las organizaciones puede ayudar a los empleados a detectar mejor correos electrónicos de phishing como los utilizados en esta campaña.
"Si bien el hilo secuestrado lo hace parecer más 'legítimo', todavía tiene la marca de los clásicos correos electrónicos de phishing", dijo Kennedy. "Los correos electrónicos que hemos observado tienen un inglés pobre, por ejemplo. Por eso, la educación de los empleados sobre el phishing es importante junto con una buena higiene de seguridad".
Los atacantes enviaron 120.000 correos electrónicos de phishing a más de 100 organizaciones en todo el mundo entre marzo y junio.
Investigadores de Microsoft dijeron el miércoles que el actor de amenazas ha utilizado un ataque de ingeniería social "altamente dirigido" para...
Los investigadores observaron 94 nuevos dominios asociados con un conocido grupo de amenazas de espionaje vinculado a Rusia.