Операторы IcedID разнообразили методы доставки вредоносного ПО

IcedID Cymru C&C-сервер HTTPS ISO lnk DLL PrivateLoader IP-адрес
Операторы IcedID разнообразили методы доставки вредоносного ПО
IcedID Cymru C&C-сервер HTTPS ISO lnk DLL PrivateLoader IP-адрес

Однако, изменения отрицательно повлияли на инфраструктуру злоумышленников.

Исследователи Cymru заявили, что операторы вредоносного ПО IcedID используют самые разные методы распространения, чтобы определить, какие из них лучше всего работают против разных целей. Более того, аналитики заметили изменения в управлении IP-адресами серверов управления и контроля (C&C), которые отрицательно повлияли на инфраструктуру хакеров.

Вредоносное ПО IcedID появилось в 2017 году как модульный банковский троян, но с тех пор превратилось в дроппер, который обычно используется для получения первоначального доступа к корпоративным сетям.

В кампаниях IcedID используются фишинговые электронные письма для передачи IcedID через ISO-файлы, архивы или вложения документов с макросами. При этом IcedID уклоняется от обнаружения и устанавливает постоянство на хосте. В итоге вредоносное ПО устанавливает прокси-сервер для связи с C&C-сервером через HTTPS и доставляет дополнительные полезные нагрузки.

В период с 13 по 21 сентября аналитики Cymru заметили следующие способы доставки IcedID:

  • Защищенный паролем ZIP -> ISO -> LNK -> JS -> CMD или BAT -> DLL;
  • Защищенный паролем ZIP -> ISO -> CHM -> DLL;
  • Защищенный паролем ZIP -> ISO -> LNK -> BAT -> DLL;
  • Вредоносные документы Word или Excel, содержащие макросы;
  • Доставляется напрямую через сервис PrivateLoader с оплатой за установку.

В этих кампаниях использовался либо итальянский, либо английский язык, причем английский язык имел больший успех.

Cymru отмечает, что кампания с использованием цепочки ISO → LNK была самой успешной, на втором месте кампании PrivateLoader, в которых использовались файлы-приманки, связанные с видеоиграми. Кампании с использованием CHM-файлов были наименее успешными и применялись в ограниченном масштабе, вероятно, для пробного тестирования.

С середины сентября операторы IcedID начали повторно использовать IP-адреса и домены для своих C&C-серверов. Раньше они использовали уникальные IP-адреса для каждой кампании.

Другим заметным изменением является более короткий срок службы IP-адресов C&C-серверов, которые ранее были «припаркованы» в среднем на 31 день, чтобы обойти системы безопасности и брандмауэры, которые блокируют недавно зарегистрированные домены. Теперь IcedID использует недавно зарегистрированные домены для своих C&C-серверов.

По словам Cymru, когда злоумышленники подключили к сети новые C&C-серверы до того, как была включена другая инфраструктура, это привело к разрыву связи. Трафик потенциальной жертвы попадает на C&C-сервер, но никуда не уходит.

Лучший способ свести к минимуму вероятность заражения IcedID — тщательно проверять входящие электронные письма на наличие признаков мошенничества или фишинга и с подозрением относиться ко всем нежелательным сообщениям.