چنگال در یخ: دوره جدید IcedId

محققان Proofpoint برای اولین بار سه نوع متمایز از بدافزار معروف به ICEDID را مشاهده و مستند کرده اند. Proofpoint دو نوع جدید را که اخیراً "Forked" و "Lite" Icedid را شناسایی کرده اند ، می نامد. این گزارش انواع زیر ICEDID را شرح می دهد:

• نوع استاندارد یخی - نوع متداول که در منظره تهدید مشاهده می شود و توسط انواع بازیگران تهدید استفاده می شود.
• Lite Icedid Variant-نوع جدیدی که به عنوان یک بار پس از آن مشاهده می شود در عفونت های احساسات در ماه نوامبر مشاهده می شود که داده های میزبان را در چک لودر و یک ربات با حداقل عملکرد نمی کند.
• Forked Icedid Variant - نوع جدید مشاهده شده توسط محققان Proofpoint در فوریه 2023 که توسط تعداد کمی از بازیگران تهدید استفاده شده است که همچنین با حداقل عملکرد ربات را ارائه می دهد.

ICEDID یک بدافزار است که در ابتدا به عنوان یک بدافزار بانکی طبقه بندی می شود و برای اولین بار در سال 2017 مشاهده شد. همچنین به عنوان یک لودر برای سایر بدافزار ، از جمله باج افزار عمل می کند. همانطور که قبلاً منتشر شد ، از نظر تاریخی فقط یک نسخه از ICEDID وجود داشته است که از سال 2017 ثابت مانده است. نسخه معروف IcedID شامل یک لودر اولیه است که با یک سرور Loader C2 تماس می گیرد ، لودر DLL استاندارد را بارگیری می کند ، که سپس ICEDID استاندارد را ارائه می دهدربات

در نوامبر 2022 ، محققان Proofpoint اولین نوع جدید از IcedID Proofpoint را که "Icedid Lite" به عنوان یک بار پس از آن در یک کمپین Emotet TA542 توزیع شده است ، مشاهده کردند. پس از بازگشت بازیگر پس از وقفه تقریباً چهار ماهه ، این بازیگر به زودی پس از بازگشت بازیگر به چشم انداز جرم و جنایت الکترونیکی کاهش یافت.

لودر Lite Icedid که در نوامبر 2022 مشاهده شد ، حاوی یک URL استاتیک برای بارگیری یک فایل "Bot Pack" با نام استاتیک (Botpack. dat) است که منجر به لودر Icedid Lite DLL می شود ، و سپس نسخه چنگال ICEDID BOT را ارائه می دهد و خارج می شود. عملکردهای وب و عملکردهای پشتیبان که به طور معمول برای کلاهبرداری بانکی استفاده می شود.

با شروع از فوریه 2023 ، Proofpoint نوع جدید چنگال ICEDID را مشاهده کرد. تا به امروز ، Proofpoint با استفاده از نوع IcedID Forked ، هفت کمپین را کشف کرده است. این نوع توسط TA581 و یک خوشه فعالیت تهدید غیر توزیع شده که به عنوان تسهیل کننده دسترسی اولیه عمل می کرد ، توزیع شد. این کمپین ها از انواع پیوست های ایمیل مانند ضمیمه های Microsoft OneNote و تا حدودی نادر برای دیدن پیوست های URL استفاده می کردند ، که منجر به نوع چنگال ICEDID شد.

لودر چنگال یخ زده ، که برای اولین بار در فوریه 2023 مشاهده شد ، بیشتر شبیه لودر استاندارد IcedID است زیرا با یک سرور Loader C2 تماس می گیرد تا لودر و ربات DLL را بازیابی کند. این لودر DLL دارای مصنوعات مشابه با لودر Lite است ، و همچنین ربات یخ زده Forked را بار می کند.

تصویر زیر نمای کلی سطح بالا از انواع مختلف ICEDID Proofpoint را شناسایی کرده است.

شکل 1: نمای کلی از سه نوع یخی.

جزئیات بازیگر تهدید

Proofpoint صدها کمپین ICEDID را از سال 2022 تا 2023 شناسایی کرده است ، و حداقل پنج بازیگر تهدید از سال 2022 به طور مستقیم این بدافزار را در کمپین ها توزیع می کنند. تقریباً همه بازیگران تهدید و خوشه های فعالیت تهدیدآمیز از نوع استاندارد ICEDID استفاده می کنند. Proofpoint بیشتر این بازیگران تهدید را به عنوان کارگزاران دسترسی اولیه می داند که عفونت های منتهی به باج افزار را تسهیل می کند.

Proofpoint همچنان به دیدن انواع مختلف بدافزار ICEDID در داده های کمپین می پردازد ، بنابراین محققان با اطمینان زیاد ارزیابی می کنند که تغییرات شرح داده شده در زیر به روزرسانی مستقیم به پایگاه استاندارد ICEDID نیست. این احتمالاً یک خوشه از بازیگران تهدید از انواع اصلاح شده برای محور بودن بدافزارها به دور از فعالیت های بانکی معمولی و فعالیت کلاهبرداری بانکی برای تمرکز بر تحویل بار استفاده می کند ، که احتمالاً شامل اولویت بندی تحویل باج افزار است. علاوه بر این ، بر اساس مصنوعات مشاهده شده در پایگاه کد ، زمان بندی و ارتباط با عفونت های احساسات ، محققان Proofpoint گمان می کنند که توسعه دهندگان اولیه Emotet با اپراتورهای ICEDID همکاری کرده اند تا فعالیت های خود را از جمله استفاده از نوع جدید Lite ICEDID که دارای عملکرد متفاوت و منحصر به فرد است ، گسترش دهندآزمایش آن از طریق عفونت های موجود.

نوع ICEDID Lite فقط به دنبال عفونت های TA542 Emotet مشاهده شده است ، اما Proofpoint نمی تواند به طور قطعی نوع LITE را به TA542 نسبت دهد زیرا عفونت های بعدی به طور معمول خارج از دید محققان هستند. موارد زیر بازیگران تهدیدی است که اغلب با IcedID در ارتباط هستند.

TA578 - Proofpoint از ژوئن سال 2020 TA578 تحویل ICEDID را در کمپین ها مشاهده کرده است. به طور معمول ، این بازیگر از مضامین ایمیل مانند "تصاویر سرقت شده" یا "نقض حق چاپ" برای ارائه بدافزار استفاده می کند. علاوه بر ICEDID ، TA578 همچنین به طور مکرر کمپین هایی را ارائه می دهد که بدافزار Bumblebee را ارائه می دهد. TA578 از نوع استاندارد IcedID استفاده می کند.

TA551 - Proofpoint از نوامبر سال 2018 TA551 را در کمپین ها ارائه داده است. TA551 از انواع بدافزار مختلف استفاده کرده است ، با بارهای اخیر از جمله IcedID ، Svcready و Ursnif. TA551 از نوع استاندارد IcedID استفاده می کند.

TA577 - Proofpoint از فوریه 2021 از TA577 استفاده از ICEDID را در کمپین های محدود مشاهده کرده است. این بازیگر به طور معمول از ربودن موضوع برای ارائه بدافزار استفاده می کند ، در حالی که QBOT بار ترجیحی TA577 است. با این حال ، Proofpoint ICEDID را که توسط TA577 در شش کمپین از سال 2022 ارائه شده است ، مشاهده کرده است. TA577 از نوع استاندارد ICEDID استفاده می کند.

TA544 - Proofpoint مشاهده شده TA544 از ICEDID در کمپین های محدود در طول سال 2022 استفاده می کند. این بازیگر به طور معمول سازمان هایی را در ایتالیا و ژاپن هدف قرار می دهد و به طور معمول بدافزار Ursnif را ارائه می دهد. TA544 از نوع استاندارد IcedID استفاده می کند.

TA581-TA581 یک بازیگر تهدید تازه طبقه بندی شده است که Proofpoint از اواسط سال 2012 به عنوان یک خوشه فعالیت غیر توزیع شده ردیابی کرده است. این بازیگر به طور معمول از مضامین مربوط به تجارت مانند حقوق و دستمزد ، اطلاعات مشتری ، فاکتور و دریافت سفارش برای ارائه انواع فیولاپ ها یا URL استفاده می کند. TA581 به طور معمول IcedID را ارائه می دهد ، اما با استفاده از بارهای بدافزار Bumblebee و ارسال حمله به تلفن گرا (TOAD) مشاهده شده است. TA581 از نوع Icedid Forked استفاده می کند.

جزئیات کمپین

Proofpoint فقط نوع لودر Lite IcedId را به عنوان بار دوم در مرحله دوم به دنبال عفونت های احساسات مرتبط با کمپین های نوامبر 2022 مشاهده کرده است. در زیر نمونه هایی از انواع استاندارد و یخ زده یخ زده به عنوان بارهای مرحله اول مشاهده شده است.

مثال 1: کمپین استاندارد ICEDID

Proofpoint یک کمپین با بیش از 2،800 پیام در 10 مارس 2023 مشاهده کرد. این کمپین با ایمیل های ربوده شده موضوع که حاوی پیوست های HTML بود ، آغاز شد. ضمیمه های HTML از قاچاق HTML برای رها کردن یک رمز عبور محافظت شده و فایل اسکریپت ویندوز (WSF) استفاده شده است. رمز عبور "747" در پرونده HTML نمایش داده شد. WSF یک VBScript را اجرا کرد که یک دستور PowerShell را برای بارگیری و اجرای یک اسکریپت میانی آغاز کرد که سپس لودر ICEDID استاندارد را با استفاده از "IRIT" صادرات غیر استاندارد بارگیری و اجرا کرد.

شکل 2: نمونه ایمیل با استفاده از ربودن موضوع برای ارائه ضمیمه HTML.

شکل 3: HTML Attachment Spoofing Office 365.

شکل 4: محتویات پرونده زیپ قاچاق.

شکل 5: محتوای پرونده WSF.

شکل 6: بارگیری کننده PowerShell متوسط. این مرحله بعدی را کشید - لودر استاندارد ICEDID.

لودر ICEDID متصل به سرور C2 و در صورت برآورده شدن شرایط خاص ، ربات هسته ICEDID را تحویل داده و اجرا می کند.

پیکربندی استاندارد لودر ICEDID:

پیکربندی استاندارد ICEDID BOT: