MSExchange Server’da IcedID Yanıt Zinciri Ele Geçirme Saldırıları

IceID, modüler yapıda çalışan bir Truva Atıdır. (Trojan) Aslında bu zararlı 2017 yılında tespit edildi ve finansal bilgileri hedef aldığı görüldü.

Saldırganlar artık e-posta konuşmalarını ele geçirmek ve bulaşıcı yükü kimlik avı saldırıları yoluyla hedef sisteme veya ağa enjekte etmek için IcedID Truva Atı’nı kullanıyor.

Saldırılar, Kasım 2021 dahili e-posta yanıt zinciri saldırısı kampanyasına olası bağlantılarla Mart 2022’de tespit edildi.

IcedId, bankalar, kredi kartı şirketleri, cep telefonu sağlayıcıları ve e-ticaret siteleri de dahil olmak üzere Amerika Birleşik Devletleri, Birleşik Krallık ve Kanada’daki bankacılık kuruluşları arasında yıkıma neden oldu. Daha önce saldırıya uğramış Microsoft Exchange sunucularını kullanarak gerçek hesaplardan geliyormuş gibi görünen e-postalar gönderen yeni bir kimlik avı saldırısıyla geri döndü.

Endişe verici bir şekilde, saldırganlar artık ele geçirilen Microsoft Exchange sunucuları aracılığıyla kimlik avı e-postaları gönderiyorlar, ancak zararlı yükün yürütülmesi, kullanıcının bilgisi olmadan kötü amaçlı yazılım yürütebilecek şekilde değişti. IcedID kimlik avı yöntemleri, IcedID yüklemesini yürüten makro etkin bir Workplace belgesi içeren parola korumalı bir ZIP paketi içeren bir e-postadır.

IcedID Saldırısı Nasıl Çalışır?

IcedID, bir e-posta kimlik avı kampanyası aracılığıyla hedef sistemlere yerleştirilir. E-posta saldırısı, yanıt zinciri saldırıları için kullanılan iş parçacığı ele geçirme olarak da adlandırılan konuşmaları ele geçirmek için sosyal mühendisliği kullanır. E-posta, hedef sistemdeki kullanıcıyı eki açmaya ikna etmek için kötü amaçlı bir ekle birlikte gönderilir. İleti, bulaşıcı ekin güvenilirliğini ve açılma şansını artıran devam eden bir konuşma dizisi olarak görünür.

Saldırganlar, kötü amaçlı e-posta kampanyasını çalıştırmak ve IcedID’yi hedeflenen kuruluşun ağına ve sistemlerine dağıtmak için güvenliği ihlal edilmiş ve güvenlik açığı bulunan Exchange Sunucularından çalınan kullanıcı kimlik bilgilerini kullanır.

E-postalar, güvenilir bir etki alanı içinde yerel IP kullanılarak gönderilir, bu da güvenilir görünmesini sağlar ve böylece ek açıldıktan sonra e-posta sahtekarlığından şüphelenme olasılığını en aza indirir. Saldırganlar, IcedID kötü amaçlı yazılımını teslim etmek için web sitelerindeki iletişim formlarından da yararlanıyor.

IcedID, IBM’deki araştırmacılar tarafından ilk kez, bu virüsün ilk kurbanlarının saldırıya uğradığı 2017 sonbaharında keşfedildi. Daha ileri incelemeler, IcedID’nin karmaşık işlevselliğe sahip yeniden yapılandırılabilir bir virüs olduğunu ortaya koydu. Diğer truva atlarından ödünç alınan veya çalınan herhangi bir kod içermiyor gibi görünüyor. Virüs zamanla değişti ve uzun bir aldatma geçmişine sahip. Örneğin, COVID-19 kampanyası sırasında, steganografi de dahil olmak üzere ek özelliklerle yeniden ortaya çıktı.

Threatpost’a gönderilen bir e-postada, CTO ve güvenlik firması Blue Hexagon’un kurucu ortağı Saumitra Das şunları söyledi:

“Bu saldırı, saldırganların tespit edilmekten kaçınmak için her zaman ne kadar çaba harcadıklarını ve derinlemesine savunmanın neden kritik olduğunu vurgulamaktadır.”

Kuruluşunuzu IcedID’den Nasıl Korursunuz?

Güvenlik açığından etkilenen Microsoft Exchange Server’ınızı yükseltin ve ProxyShell ve ProxyLogon güvenlik açıklarına ve diğer güvenlik hatalarına düzeltme eki uygulamak için hemen güncelleştirin. Posta sunucularınızı ve ağınızı tehdit aktörlerine, fidye yazılımlarına ve IcedID gibi diğer kötü amaçlı saldırılara karşı korumak için en iyi seçenek budur.

Microsoft tehdit analistleri, sahte yasal tehditler içeren e-postalar kullanan kuruluşlara kötü amaçlı bağlantılar sunmak için web sitelerinde yayımlanan iletişim formlarının kötüye kullanıldığı etkinlikleri izlemektedir. E-postalar, alıcılara iddialarının arkasındaki sözde kanıtları incelemek için bir bağlantıyı tıklamalarını söyler, ancak bunun yerine bilgi çalan bir kötü amaçlı yazılım olan IcedID’nin indirilmesine yönlendirilir. Microsoft Defender için Office 365 bu e-postaları algılayıp engeller ve kuruluşları bu tehditten korur.

Bu blogda, bu benzersiz saldırı hakkındaki analizimizi ve arkasındaki tekniklerin saldırganlara sistemlere virüs bulaştırmanın yeni yollarını bulma gibi kötü niyetli hedeflerinde nasıl yardımcı olduğunu gösteriyoruz. Bu tehdit dikkat çekicidir çünkü:

  1. Saldırganlar, korumaları atlamak için web sitelerinin iletişim formları gibi meşru altyapıyı kötüye kullanıyor ve bu da bu tehdidi son derece kaçamak hale getiriyor. Ayrıca, saldırganlar meşru URL’ler kullanır (bu durumda, hedeflerin Google kimlik bilgileriyle oturum açmasını gerektiren Google URL’leri).
  2. E-postalar, keşif ve veri sızıntısı için kullanılabilen ve fidye yazılımı da dahil olmak üzere ek kötü amaçlı yazılım yüklerine yol açabilen IcedID kötü amaçlı yazılımını sunmak için kullanılıyor.
  3. Bu tehdit, saldırganların her zaman ağlara sızmak için saldırı yolları arayışında olduklarını ve genellikle internete maruz kalan hizmetleri hedef aldıklarını gösterir. Kuruluşlar, bu tür tehditlere karşı koruma sağladığından emin olmalıdır.

Bu özel kampanya IcedID kötü amaçlı yazılımını sunarken, dağıtım yöntemi çok çeşitli diğer kötü amaçlı yazılımları dağıtmak için kullanılabilir ve bu da kuruluşa başka tehditler getirebilir. IcedID’nin kendisi, insan tarafından işletilen fidye yazılımları da dahil olmak üzere daha karmaşık tehditler için bir giriş noktası haline gelen bir bankacılık truva atıdır. Bir komuta ve kontrol sunucusuna bağlanır ve saldırganların uygulamalı klavye saldırıları gerçekleştirmesine, kimlik bilgilerini çalmasına ve etkilenen ağlar arasında yanal olarak hareket ederek ek yükler sunmasına olanak tanıyan ek implantlar ve araçlar indirir.

Bu tehdidi aktif olarak araştırmaya ve müşterilerin korunmasını sağlamak için iş ortaklarıyla birlikte çalışmaya devam ediyoruz. Google URL’lerinden yararlanan bu tehdide dikkat çekmek için Google’daki güvenlik gruplarını zaten uyardık.

İletişim formlarındaki kötü amaçlı içeriği izleme

Web siteleri genellikle site ziyaretçilerinin site sahipleriyle iletişim kurmasına izin vermenin bir yolu olarak iletişim formu sayfaları içerir ve e-posta adreslerini potansiyel spam gönderenlere gösterme zorunluluğunu ortadan kaldırır.

Bununla birlikte, bu kampanyada, şirketlerin iletişim formlarını kötüye kullanarak işletmeleri hedef alan iletişim formu e-postalarının akını gözlemledik. Bu, saldırganların CAPTCHA korumalarını aşarken bu işlemi otomatikleştiren bir araç kullanmış olabileceğini gösterir.

Bu kampanyada, iletişim formu sorgusundan alıcının gelen kutusuna ulaşan kötü amaçlı e-postanın, güvenilir e-posta pazarlama sistemlerinden gönderildiği için güvenilir göründüğünü ve algılanmaktan kaçınırken meşruiyetini daha da doğruladığını izledik. E-postalar alıcının web sitesindeki kendi iletişim formundan kaynaklandığından, e-posta şablonları gerçek bir müşteri etkileşiminden veya sorgusundan bekleyecekleriyle eşleşir.

Saldırganlar web tabanlı formu doldurup gönderirken, ilişkili iletişim formu alıcısına veya hedeflenen kuruluşa, saldırgan tarafından oluşturulan iletiyi içeren bir e-posta iletisi oluşturulur. Mesaj güçlü ve acil bir dil kullanır (“Hemen şimdi indirin ve bunu kendiniz kontrol edin”) ve alıcıyı hemen harekete geçmeye zorlar ve sonuçta alıcıları sözde yasal işlemlerden kaçınmak için bağlantıları tıklamaya zorlar.

Yorumlarda yazılı sahte yasal tehditlerin yanı sıra, mesaj içeriği, alıcının görüntülemesi için çalındığı iddia edilen fotoğrafları görüntülemek için bir sites.google.com sayfasına bağlantı da içerir.

Bağlantıyı tıkladığınızda, alıcı Google kimlik bilgileriyle oturum açmasını gerektiren bir Google sayfasına yönlendirilir. Bu eklenen kimlik doğrulama katmanı nedeniyle, algılama teknolojileri e-postayı tamamen kötü amaçlı olarak tanımlamakta başarısız olabilir.

E-posta alıcısı oturum açtıktan sonra, sites.google.com sayfası otomatik olarak çok gizlenmiş bir .js dosyası içeren kötü amaçlı bir ZIP dosyası indirir. Kötü amaçlı .js dosyası, düşürülen bir DLL yükleyicisi tarafından şifresi çözülen IcedID yükünü (.dat bir dosya) indirmek üzere PowerShell’i başlatmak için bir kabuk nesnesi oluşturmak üzere WScript aracılığıyla yürütülür ve ayrıca aşamasız bir DLL biçiminde bir Kobalt Grev işaretçisi, saldırganların güvenliği ihlal edilmiş aygıtı uzaktan denetlemesine olanak tanır.

İndirilen .dat dosyası rundll32 yürütülebilir dosyası aracılığıyla yüklenir. rundll32 yürütülebilir dosyası daha sonra aşağıdaki bilgi çalma yetenekleriyle ilgili çok sayıda komut başlatır:

Investigating a unique “form” of email delivery for IcedID malware – Microsoft Security Blog

Exit mobile version