Yakın tarihli bir IcedID kötü amaçlı yazılım saldırısı, tehdit aktörünün ilk erişimi elde ettikten 24 saatten kısa bir süre sonra adsız bir hedefin Active Directory etki alanını ele geçirmesine olanak sağladı.
Cybereason araştırmacıları bu hafta yayınlanan bir raporda, “Saldırı boyunca, saldırgan bir rutin keşif komutları, kimlik bilgisi hırsızlığı, Windows protokollerini kötüye kullanarak yanal hareket izledi ve yeni tehlikeye atılan ana bilgisayarda Cobalt Strike yürüttü.” Dedi.
BokBot adıyla da bilinen IcedID, Emotet, TrickBot, Qakbot, Bumblebee ve Raspberry Robin gibi diğer kötü amaçlı yazılımlar için bir damlalığa dönüşmeden önce 2017 yılında bir bankacılık truva atı olarak hayatına başladı.
IcedID’nin teslimini içeren saldırılar, özellikle Microsoft’un web’den indirilen Office dosyalarından makroları engelleme kararının ardından çeşitli yöntemlerden yararlandı.
Cybereason tarafından detaylandırılan izinsiz giriş, enfeksiyon zincirinin IcedID yükünün yürütülmesiyle sonuçlanan bir ZIP arşivinde bulunan bir ISO görüntü dosyasıyla başlaması bakımından farklı değildir.
Kötü amaçlı yazılım daha sonra programlanmış bir görev aracılığıyla ana bilgisayarda kalıcılık oluşturur ve takip eden keşif etkinliği için Cobalt Strike Beacon da dahil olmak üzere ek yükler indirmek için uzak bir sunucuyla iletişim kurar.
Ayrıca ağ boyunca yanal hareket gerçekleştirir ve tüm bu iş istasyonlarında aynı Cobalt Strike Beacon’ı çalıştırır ve ardından yedek bir uzaktan erişim mekanizması olarak meşru bir uzaktan yönetim aracı olan Atera aracısını kurmaya devam eder.
Araştırmacılar, “Bunun gibi BT araçlarını kullanmak, saldırganların, ilk kalıcılık mekanizmalarının keşfedilmesi ve düzeltilmesi durumunda kendileri için ek bir ‘arka kapı’ oluşturmalarına olanak tanır” dedi. “Bu araçların antivirüs veya EDR tarafından algılanma olasılığı daha düşük ve aynı zamanda yanlış pozitif olarak yazılma olasılığı daha yüksek.”
Cobalt Strike Beacon ayrıca, kimlik bilgisi hırsızlığı için Rubeus adlı bir C# aracını indirmek için bir kanal olarak kullanılır ve sonuçta tehdit aktörünün yanal olarak etki alanı yönetici ayrıcalıklarına sahip bir Windows Sunucusuna geçmesine izin verir.
Yükseltilmiş izinler daha sonra bir DCSync saldırısı düzenlemek için silah haline getirilerek saldırganın bir etki alanı denetleyicisinin (DC) davranışını simüle etmesine ve diğer etki alanı denetleyicilerinden kimlik bilgilerini almasına olanak tanır.
Saldırının bir parçası olarak kullanılan diğer araçlar arasında, ağı yanal hareket için taramak için netscan.exe adlı yasal bir yardımcı program ve ayrıca MEGA bulut depolama hizmetiyle ilgili dizinleri sızdırmak için rclone dosya eşitleme yazılımı yer alıyor.
Bulgular, Team Cymru’dan araştırmacıların, uzaktan erişim kanalı sağlayan bir VNC modülü de dahil olmak üzere uzlaşma sonrasında ek işlevsellik sağlamak için IcedID tarafından kullanılan BackConnect (BC) protokolüne daha fazla ışık tutmasıyla geldi.
Araştırmacılar geçen ay “BC durumunda, genel süreci farklı rollerde yöneten iki operatör var gibi görünüyor” diyerek, “faaliyetin çoğunu” ekledi. […] tipik çalışma haftasında meydana gelir.”
Gelişme aynı zamanda Kasım 2022’de Proofpoint’ten Emotet etkinliğindeki canlanmanın yeni bir IcedID sürümünün dağıtımıyla bağlantılı olduğuna dair bir raporu takip ediyor.