Onderzoek Proofpoint: TA571 levert IcedID Forked Loader

proofpoint

Onderzoekers van Proofpoint ontdekten dat TA571 de Forked-variant van IcedID levert in twee campagnes. Dit vond plaats op 11 en 18 oktober 2023. Beide campagnes bevatten meer dan 6.000 berichten die allemaal een impact hadden op meer dan 1.200 klanten in verschillende sectoren verspreid over heel de wereld.

E-mails in de campagnes deden zich voor als antwoorden op bestaande mailuitwisselingen, ook wel bekend als ‘thread hijacking’. De e-mails bevatten 404 TDS URL’s die linken naar het downloaden van een met een wachtwoord beveiligd zip-archief. Het wachtwoord stond in de bijbehorende e-mail. Voordat het zip-archief werd afgeleverd, voerde de aanvalsketen een reeks controles uit om de ontvanger te valideren. Verder bevatte het zip-bestand een VBS-script en een goedaardig tekstbestand. Maar, zodra de ontvanger dubbelklikte op het VBS-script, werd een geïntegreerde IcedID Forked Loader met regsvr32 uitgevoerd. De loader downloadde op zijn beurt de IcedID bot.

Het gebruik van de Forked IcedID werd in slechts een klein aantal campagnes waargenomen en is daardoor ongebruikelijk. Proofpoint identificeerde deze variant voor het eerst in februari 2023. Een belangrijk verschil tussen de oorspronkelijke IcedID-variant en de Forked-variant is de verwijdering van de bankfunctionaliteit. Onderzoekers zagen dat actoren gewijzigde varianten gebruikten om de malware af te leiden van de typische banking trojan en bankfraude om zich te richten op het afleveren van payloads, waaronder waarschijnlijk het afleveren van ransomware.

TA571 en 404 TDS

TA571 gebruikt 404 TDS regelmatig in campagnes om malware af te leveren, waaronder AsyncRAT, NetSupport en DarkGate. Onderzoekers van Proofpoint volgen 404 TDS al sinds ten minste september 2022 en het wordt door een aantal dreigingsactoren gebruikt. Een Traffic Distribution System (TDS) is een toepassing die wordt gebruikt om webverkeer te routen via servers die door de operator worden beheerd. Ze kunnen worden gebruikt door dreigingsactoren om gebruikers verkeerd om te leiden naar malwaredownloads. IP-filtering wordt gebruikt om te bepalen of een payload moet worden afgeleverd of moet worden omgeleid naar een website voor het verzamelen van referenties. Proofpoint schat in dat 404 TDS waarschijnlijk wordt gedeeld of wordt verkocht aan andere actoren vanwege de betrokkenheid bij verschillende ongerelateerde phishing- of malwarecampagnes.

Toekenning

TA571 is een spamverspreider en deze actor verstuurt e-mailcampagnes met grote hoeveelheden spam voor het afleveren van een verscheidenheid aan malware en dit te installeren voor hun cybercriminele klanten, afhankelijk van de doelstellingen van de volgende exploitant. Proofpoint schat, met een hoge mate van betrouwbaarheid, in dat TA571-infecties tot ransomware kunnen leiden.

De levering van de Forked IcedID-variant door TA571 is uniek, omdat Proofpoint deze niet vaak waarneemt in de dreigingsgegevens. Bovendien beschouwt Proofpoint TA571 als een verfijnde cybercriminele dreiging. De aanvalsketen omvat unieke filtering met behulp van tussenliggende ‘poorten’ waar verkeer doorheen kan in de vorm van URL’s. Deze tussenliggende URL’s filteren verkeer op basis van IP en geo-fencing. TA571 kan wel twee poorten per campagne hebben, zodat alleen specifiek gerichte gebruikers de malware ontvangen, maar ook voor het omzeilen van geautomatiseerde sandboxing of activiteiten van onderzoekers.

Lees ook
ESET Research: CosmicBeetle groep bundelt krachten met andere ransomware bendes

ESET Research: CosmicBeetle groep bundelt krachten met andere ransomware bendes

ESET-onderzoekers hebben de recente activiteiten van de dreigersgroep CosmicBeetle in kaart gebracht. Ze hebben gedocumenteerd hoe de nieuwe ScRansomware wordt ingezet en hebben verbanden ontdekt met andere gevestigde ransomwarebendes. CosmicBeetle heeft ransomware verspreid onder het mkb, voornamelijk in Europa en Azië.

Zomercolumn: Van Ransomware-as-a-Service tot AI: ontwikkelingen in cybersecurity

Zomercolumn: Van Ransomware-as-a-Service tot AI: ontwikkelingen in cybersecurity

Het cybersecurity-landschap verandert snel, met nieuwe technieken en bedreigingen die voortdurend opduiken. Ze zijn van invloed op de beveiliging van digitale omgevingen en hoe organisaties zich hierop kunnen voorbereiden.

Barracuda: Laterale bewegingen een belangrijk detectiesignaal bij ransomware-aanval

Barracuda: Laterale bewegingen een belangrijk detectiesignaal bij ransomware-aanval

Uit onderzoek van Barracuda blijkt dat laterale bewegingen door de organisatie de duidelijkste signalen zijn van een beginnende ransomware-aanval: bijna de helft (44%) van de ransomware-aanvallen werd tijdens deze fase gedetecteerd. Een kwart (25%) van de incidenten werd gedetecteerd toen de aanvallers begonnen met het schrijven of wijzigen van be1