Son zamanlarda meydana gelen bir olayda, ilk erişimden yalnızca 24 saat sonra, IcedID (diğer adıyla BokBot) kötü amaçlı yazılımı, adsız bir hedefin Active Directory etki alanına başarılı bir şekilde sızmak için kullanıldı.
Saldırı, hedeflerine ulaşmak için Conti gibi diğer gruplar tarafından kullanılanlara benzer taktikler kullandı. IcedID, kurbanlarından finansal bilgileri çalmak için özel olarak tasarlanmış bir kötü amaçlı yazılım türüdür.
Genellikle aşağıdakiler gibi hassas finansal bilgileri çalmak amacıyla bireyleri ve kuruluşları hedeflemek için kullanıldığından, genellikle bir bankacılık truva atı olarak anılır:-
- Bankacılık oturum açma kimlik bilgileri
- Kredi kartı numaraları
- Diğer kişisel bilgiler
IcedID, genellikle kimlik avı e-postaları veya kötü amaçlı web siteleri aracılığıyla yayılır ve bir kurbanın cihazına bulaştığında, tuş vuruşlarını yakalayarak, ekran görüntüleri alarak ve kurbanın web tarayıcısından veri çalarak hassas bilgilere erişim sağlayabilir.
Kötü amaçlı yazılım istenen bilgileri elde ettikten sonra, verileri saldırganların komuta ve kontrol sunucusuna sızdırabilir ve burada finansal dolandırıcılık veya diğer kötü amaçlı faaliyetler için kullanılabilir.
TA551, en az 2017’den beri bu kötü amaçlı yazılımla ilişkili tehdit grubu olarak tanımlanıyor ve o zamandan beri aktif durumda.
Cybereason ekibi tarafından yapılan soruşturma sırasında saldırganın gerçekleştirdiği çeşitli eylemleri gösteren bir zaman çizelgesi aşağıda gösterilmiştir:-
Dağıtım Mekanizmaları ve Enfeksiyon akışı
Aşağıdakiler de dahil olmak üzere gözlemlenen bir dizi konuşlandırma mekanizması vardır: –
- Kurban bir arşiv açar.
- Kurban, bir sanal disk oluşturan ISO dosyasına tıklar.
- Kurban sanal diske gider ve görünür olan tek dosyaya tıklar, ki bu aslında bir LNK dosyasıdır.
- LNK dosyası, bir DLL dosyasını geçici bir klasöre bırakan ve onu rundll32.exe ile çalıştıran bir toplu iş dosyası çalıştırır.
- Rundll32.exe, IcedID yükünü indirerek IcedID ile ilgili etki alanlarına ağ bağlantıları oluşturan DLL’yi yükler.
- IcedID verisi sürece yüklenir.
Microsoft, web’den indirilen Office dosyalarından makroları engellemeye karar verdiğinden beri, çeşitli yöntemlerden yararlanan IcedID’nin teslimini içeren bir dizi saldırı olmuştur.
Ardından, planlanmış bir görev aracılığıyla Cobalt Strike Beacon da dahil olmak üzere takip eden keşif etkinliği için yeni bir faydalı yük indirir ve ana bilgisayarda kalıcılık oluşturur.
Ek olarak, aynı Cobalt Strike Beacon’ı çalıştırır ve ağdaki her iş istasyonuna bir Atera aracısı kurar. Saldırganların ilk kalıcılık mekanizmalarının keşfedilmesi ve düzeltilmesi durumunda, saldırganlar kendilerine yeni bir ‘arka kapı’ oluşturmak için bunun gibi BT araçlarını kullanabilirler.
Bu araçların antivirüs ve uç nokta algılama ve önleme yazılımları tarafından yanlış pozitifler olarak gözden kaçması daha olasıdır.
Kullanıcıların kimlik bilgilerini çalmak için Rubeus adlı AC# aracı da Cobalt Strike Beacon aracılığıyla indirilir. Saldırgan daha sonra yanal olarak etki alanı yönetici haklarına sahip Windows sunucularından birine geçebilir ve bu sunucuyu ele geçirebilir.
Daha sonra yükseltilmiş izinler kullanılarak DCSync’e bir saldırı düzenlenir ve yükseltilmiş izinler silah haline getirilir.
netscan adlı yasal bir yazılım parçası[.]exe, saldırganın yanal hareketini aramak için ağı tarama saldırısının bir parçası olarak da dahil edildi.
Saldırgan, MEGA bulut depolama alanına yönelik ilgili dizinleri sızdırmanın yanı sıra, rclone dosya senkronizasyon yazılımı kullandı.
öneriler
Ortamınızda gözlemlenmesi durumunda IcedID etkinliğini kontrol altına almaya yardımcı olması için önerilen bir dizi önlem vardır:-
- Kimlik avı e-posta koruması
- Kullanıcılarınızı benzer tehditlere karşı uyarın
- Disk görüntü dosyası otomatik bağlamayı devre dışı bırak
- Güvenliği ihlal edilmiş kullanıcıları engelle
- Kötü amaçlı ağ bağlantılarını belirleyin ve engelleyin
- Active Directory erişimini sıfırla
- Olay Müdahalesini Etkinleştir
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin