ΑρχικήsecurityΤο Microsoft Exchange στοχεύεται για επιθέσεις IcedID

Το Microsoft Exchange στοχεύεται για επιθέσεις IcedID

Έχει αυξηθεί η διανομή του IcedID malware! Ο λόγος; Μια νέα καμπάνια παραβιάζει υπάρχοντα email conversation threads και εισάγει κακόβουλα payloads που είναι δύσκολο να εντοπιστούν.

Το IcedID είναι ένα banking trojan που εντοπίστηκε για πρώτη φορά το 2017, που χρησιμοποιείται κυρίως για την ανάπτυξη malware δεύτερου σταδίου, όπως άλλα προγράμματα φόρτωσης ή ransomware.

Οι χειριστές του πιστεύεται ότι είναι μεσίτες αρχικής πρόσβασης που θέτουν σε κίνδυνο τα δίκτυα και στη συνέχεια πωλούν την πρόσβαση σε άλλους εγκληματίες του κυβερνοχώρου.

Η συνεχιζόμενη εκστρατεία IcedID ανακαλύφθηκε αυτόν τον μήνα από ερευνητές της Intezer, οι οποίοι μοιράστηκαν τα ευρήματά τους με την Bleeping Computer πριν από τη δημοσίευση.

Δείτε επίσης: Η CISA προσθέτει 66 ευπάθειες στη λίστα «Known Exploited Vulnerabilities»

Πώς λειτουργεί η επίθεση

Η κύρια μέθοδος της επίθεσης conversation hijacking είναι η ανάληψη του ελέγχου να ενός βασικού λογαριασμού email που συμμετέχει σε μια συζήτηση με τον στόχο και στη συνέχεια η αποστολή ενός phishing μηνύματος που έχει σχεδιαστεί για να εμφανίζεται ως συνέχεια του thread.

Ως εκ τούτου, όταν ο στόχος λαμβάνει ένα μήνυμα απάντησης με ένα συνημμένο που ονομάζεται και παρουσιάζεται ως κάτι σχετικό με την προηγούμενη συζήτηση, οι πιθανότητες να υποψιαστεί την απάτη μειώνονται στο ελάχιστο.

Η Intezer εξηγεί ότι υπάρχουν ενδείξεις ότι απειλητικοί παράγοντες στοχεύουν ευάλωτους servers Microsoft Exchange για να κλέψουν τα credentials, καθώς πολλά από τα παραβιασμένα endpoints που βρήκαν είναι δημόσια και χωρίς επιδιόρθωση.

Επιπλέον, σε αυτήν την καμπάνια, οι αναλυτές έχουν δει κακόβουλα μηνύματα phishing που αποστέλλονται από εσωτερικούς servers Exchange, χρησιμοποιώντας τοπικές διευθύνσεις IP σε ένα πιο αξιόπιστο domain και, ως εκ τούτου, είναι απίθανο να επισημανθούν ως ύποπτα.

Το συνημμένο email που αποστέλλεται στους στόχους είναι ένα αρχείο ZIP που περιέχει ένα αρχείο ISO, το οποίο, με τη σειρά του, εσωκλείει ένα αρχείο LNK και ένα αρχείο DLL. Εάν το θύμα κάνει διπλό κλικ στο “document.lnk”, το DLL εκκινεί για να ρυθμίσει το πρόγραμμα φόρτωσης IcedID.

Δείτε επίσης: H Google διορθώνει Chrome zero-day bug που χρησιμοποιείται σε επιθέσεις

Το IcedID GZiploader αποθηκεύεται σε κρυπτογραφημένη μορφή στο τμήμα πόρων του δυαδικού αρχείου και μετά την αποκωδικοποίηση, τοποθετείται στη μνήμη και εκτελείται.

Στη συνέχεια, ο host γίνεται fingerprint και οι βασικές πληροφορίες συστήματος αποστέλλονται στο C2 μέσω ενός αιτήματος HTTP GET.

Τέλος, το C2 ανταποκρίνεται στέλνοντας ένα payload στο μολυσμένο μηχάνημα, αν και αυτό το βήμα δεν πραγματοποιήθηκε κατά την ανάλυση της Intezer.

IcedID

Δείτε επίσης: FCC: Η Kaspersky αποτελεί κίνδυνο για την εθνική ασφάλεια των ΗΠΑ

Η Microsoft κυκλοφόρησε τις διορθώσεις για τις ευπάθειες ProxyLogon και ProxyShell πριν από ένα χρόνο, επομένως αν δεν έχετε εφαρμόσει τις λύσεις ασφαλείας της εταιρείας έχετε καθυστερήσει πραγματικά πολύ και βρίσκεστε σε κίνδυνο.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS