Croc

Операторы IcedID распространяют вредонос через взломанные серверы Microsoft Exchange

Операторы IcedID распространяют вредонос через взломанные серверы Microsoft Exchange Операторы IcedID распространяют вредонос через взломанные серверы Microsoft Exchange Операторы IcedID распространяют вредонос через взломанные серверы Microsoft Exchange
30.03.2022

Киберпреступники используют скомпрометированные серверы Microsoft Exchange для рассылки спама по электронной почте и последующего заражения компьютерных систем вредоносным ПО IcedID, сообщает SecurityLab.

IcedID — бэкдор, предоставляющий возможность устанавливать другие вредоносные программы, в том числе вымогатели. Жертвы получают зашифрованный ZIP-файл в качестве вложения с паролем в тексте электронной почты и инструкциями по открытию содержимого архива. При этом запускается загрузчик, который развертывает IcedID на компьютере.

ИБ-специалисты из FortiGuard Labs обнаружили электронное письмо с вредоносным ZIP-файлом, отправленное украинской топливной компании. В ходе данной кампании также использовались скомпрометированные серверы Microsoft Exchange. Вредоносная активность была выявлена в марте нынешнего года, и преступники нацелены на энергетические, медицинские, юридические и фармацевтические организации.

Атака начинается с фишингового электронного письма, которое содержит сообщение о важном документе в прикрепленном защищенном паролем архиве .zip и пароль в теле письма. Обычно это необходимо, чтобы автоматические сканеры не могли видеть содержимое ZIP-архива. Кроме того, злоумышленники используют перехват переписки для большей убедительности. Использование перехвата переписки — эффективный метод социальной инженерии, который может увеличить количество успешных попыток фишинга.

В то время как в предыдущих кампаниях использовались документы Microsoft Office для установки вредоносных программ на компьютерах жертв, в данной кампании операторы IcedID используют файлы ISO с файлом ярлыка Windows LNK и динамической библиотекой (DLL).

Файл LNK замаскирован под документ, но когда пользователь дважды щелкает по нему, файл использует инструмент Regsvr32 операционной системы для выполнения DLL-библиотеки, который расшифровывает и запускает IcedID. По словам экспертов, использование Regsvr32 помогает злоумышленникам избежать обнаружения. Это программа командной строки для регистрации и отмены регистрации DLL-библиотек и встроенных элементов управления.

Хотя эксперты не связывают данную кампанию IcedID с определенной киберпреступной группировкой, в отчете Proofpoint за июнь 2021 года отмечалось, что использовать IcedID в качестве своего вредоносного ПО предпочитают группировки TA577 и TA551.


Комментарии 0