IcedID 恶意软件网络钓鱼活动背后的威胁行为者正在使用多种分发方法,可能会确定哪种方法对不同目标最有效。
Cymru 的研究人员在 2022 年 9 月观察了几次活动,所有活动都遵循略有不同的感染途径,他们认为这有助于他们评估有效性。
此外,分析人员注意到活动中使用的 C2 命令和控制服务器 (C2) IP 的管理发生了变化,现在出现了马虎的迹象。
IcedID 恶意软件
IcedID 恶意软件始于 2017 年,最初是一种模块化银行木马,但后来演变为一种恶意软件投放器,通常用于获取对企业网络的初始访问权限。
恶意软件投放器用于在受感染设备上悄悄安装更多恶意软件,帮助威胁参与者在目标系统上站稳脚跟,然后在整个网络中部署更强大的有效负载。
通常,恶意软件投放器的运营商会将其服务出售给其他网络犯罪分子,后者将这部分攻击外包并专注于攻击后活动。
这些活动使用 网络钓鱼电子邮件 通过 ISO 文件、档案或 包含宏的文档 附件删除 IcedID。
从那里开始,IcedID 在规避检测和在主机上建立持久性方面做得非常出色。
最终,该恶意软件设置了一个代理以通过 HTTPS 与其 C2 通信,并按照其操作员的指示获取额外的有效负载。
多样化的交付链
在 9 月 13 日至 21 日期间,Cymru 分析师注意到 IcedID 在目标上的以下不同交付方式:
- 受密码保护的 ZIP -> ISO -> LNK -> JS -> [CMD 或 BAT] -> DLL
- 受密码保护的 ZIP -> ISO -> CHM -> DLL
- 受密码保护的 ZIP -> ISO -> LNK -> BAT -> DLL
- 带有宏的恶意 Word 或 Excel 文档
- 通过 PrivateLoader 按安装付费服务直接交付
这些运动要么使用意大利语,要么使用英语,前者的成功率低于后者。
至于哪种方法最有效,Cymru 评论说,使用 ISO → LNK 链的活动最成功,其次是使用游戏破解诱饵的 PrivateLoader 活动。
另一方面,使用 CHM 文件的活动最不成功,在有限的范围内使用,可能用于初步测试。
针对说英语的用户但使用意大利语作为“查看”按钮的 Excel 文件也未能使目标受害,他们可能认为这是欺诈的迹象。
“这些指标也是威胁参与者正在关注的数字,就像任何其他业务一样,可能会影响他们未来的行动,” Cymru 报告解释说。
成长邋遢?
从 9 月中旬开始,IcedID 的运营商开始尝试为他们的 C2 服务器尝试 IP 地址和域重用,而之前,他们为每个活动使用唯一的 IP。然而,这在月底被恢复了。
另一个显着的变化是用作 IcedID C2 的 IP 地址的生命周期较短,这些 IP 地址以前平均停放 31 天,然后才被启用以帮助避开阻止新注册域的安全系统和防火墙。
现在,IcedID 为其几天前注册的 C2 使用“新”域,这表明与现有方法相比缺乏谨慎。
然而,Cymru 表示,这导致了草率的配置,威胁参与者在启用其他基础设施之前将新的命令和控制服务器上线,从而导致通信中断。
研究人员解释说:“与我们跟踪的其他 C2 不同,这些 C2 平均在活动使用前 31 天注册,该域是第一个仅在 C2 前一天注册的域。”
“它在活动当天被分配给这个 IP,这很正常,但 T2 通信似乎从未建立。潜在的受害者流量正在攻击 C2,但它无处可去。”
虽然很高兴看到恶意软件活动的基础设施受到侵蚀,但最终用户不能依靠它来防止感染。
与往常一样,最大限度地减少 IcedID 感染机会的最佳方法是仔细检查传入的电子邮件是否存在欺诈或网络钓鱼的迹象,并怀疑所有未经请求的通信。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » IcedID恶意软件攻击背后的黑客使交付策略多样化
