Операторы вредоносного ПО IcedID используют разные методы распространения, для нахождения лучшего

Новости

Кроме того, аналитики заметили изменение в управлении IP-адресами C&C-серверов, что негативно сказывается на инфраструктуре хакеров.

Вредоносная программа IcedID возникла в 2017 году как модульный банковский троян, но с тех пор превратилась в дроппер, обычно используемый для первоначального доступа к корпоративным сетям.

Кампании IcedID используют фишинговые электронные письма для рассылки IcedID через ISO-файлы, архивы или вложения макро-документов. При этом IcedID уклоняется от обнаружения и устанавливает постоянство на хосте. В результате вредоносная программа устанавливает прокси-сервер и связывается с C&C-сервером через HTTPS для доставки дополнительной полезной нагрузки.

В период с 13 по 21 сентября аналитики Cymru заметили следующие способы доставки IcedID

Защищенный паролем ZIP → ISO → LNK → JS → CMD или BAT → DLL.
Защищенный паролем ZIP -> ISO -> CHM -> DLL.
Защищенный паролем ZIP -> ISO -> LNK -> BAT -> DLL.
Вредоносные документы Word или Excel, содержащие макросы.
Прямая доставка с помощью услуг PrivateLoader и с учетом затрат на установку.
В этих кампаниях используется итальянский или английский язык, причем английский является более успешным.

Операторы вредоносного ПО IcedID используют разные методы распространения, для нахождения лучшего

По данным Cymru, кампании, использующие цепочку ISO → LNK, являются наиболее успешными, а кампании PrivateLoader, использующие файлы-приманки, связанные с видеоиграми, занимают второе место. Кампании, использующие файлы CHM, являются наименее успешными, вероятно, потому что они являются пилотными. вероятно, используется в ограниченных масштабах в целях тестирования.

С середины сентября операторы IcedID повторно используют IP-адреса и домены для своих C&C-серверов. Ранее для каждой кампании использовался уникальный IP-адрес.

Еще одно заметное изменение — срок жизни IP-адресов на C&C-серверах стал короче. Ранее они «парковались» в среднем на 31 день, чтобы обойти системы безопасности и брандмауэры, которые блокировали вновь зарегистрированные домены; теперь IcedID использует вновь зарегистрированные домены на C&C-серверах.

По данным Cymru, отключения происходили, когда злоумышленники подключали новый C&C-сервер к сети до включения других объектов инфраструктуры. Трафик потенциальной жертвы достигает сервера C&C, но никуда не уходит.

Чтобы минимизировать возможность заражения IcedID, тщательно проверяйте входящую электронную почту на наличие признаков мошенничества или фишинга и с подозрением относитесь к любым нежелательным сообщениям.

lobbyrom
Оцените автора
NIBBL
Добавить комментарий