Ein kürzlich durchgeführter IcedID-Malware-Angriff ermöglichte es dem Angreifer, die Active Directory-Domäne eines ungenannten Ziels weniger als 24 Stunden nach dem ersten Zugriff zu kompromittieren.
„Während des gesamten Angriffs folgte der Angreifer einer Routine aus Aufklärungsbefehlen, Diebstahl von Anmeldeinformationen, seitlicher Bewegung durch Missbrauch von Windows-Protokollen und der Ausführung von Cobalt Strike auf dem neu kompromittierten Host“, so die Forscher von Cybereason in einem diese Woche veröffentlichten Bericht.
IcedID, auch bekannt unter dem Namen BokBot, begann 2017 als Banking-Trojaner, bevor er sich zu einem Dropper für andere Malware entwickelte und sich damit in die Reihe von Emotet, TrickBot, Qakbot, Bumblebee und Raspberry Robin einreihte.
Angriffe, bei denen IcedID zum Einsatz kam, wurden mit einer Vielzahl von Methoden durchgeführt, insbesondere nachdem Microsoft beschlossen hatte, Makros in Office-Dateien, die aus dem Internet heruntergeladen wurden, zu blockieren.
Der von Cybereason beschriebene Angriff unterscheidet sich insofern nicht, als dass die Infektionskette mit einer ISO-Image-Datei in einem ZIP-Archiv beginnt und mit der Ausführung der IcedID-Nutzlast endet.
Die Malware bleibt dann über eine geplante Aufgabe auf dem Host bestehen und kommuniziert mit einem Remote-Server, um zusätzliche Nutzdaten herunterzuladen, darunter Cobalt Strike Beacon für weitere Aufklärungsaktivitäten.
Er bewegt sich auch quer durch das Netzwerk und führt den gleichen Cobalt Strike Beacon auf all diesen Arbeitsplätzen aus. Anschließend installiert er den Atera Agent, ein legitimes Fernverwaltungsprogramm, als redundanten Fernzugriffsmechanismus.
„Durch die Verwendung solcher IT-Tools können sich Angreifer eine zusätzliche ‚Hintertür‘ schaffen, falls ihre ursprünglichen Persistenzmechanismen entdeckt und beseitigt werden“, so die Forscher. „Es ist unwahrscheinlich, dass diese Tools von Antiviren- oder EDR-Programmen entdeckt werden, und es ist auch wahrscheinlicher, dass sie als Fehlalarme abgetan werden.
Über den Cobalt Strike Beacon wird ein C#-Tool namens Rubeus für den Diebstahl von Anmeldeinformationen heruntergeladen, das es dem Angreifer schließlich ermöglicht, auf einen Windows Server mit Domänen-Administratorrechten zu gelangen.
Mit den erhöhten Rechten kann der Angreifer dann einen DCSync-Angriff durchführen, bei dem er das Verhalten eines Domänencontrollers(DC) simuliert und Anmeldeinformationen von anderen Domänencontrollern abruft.
Zu den weiteren Werkzeugen, die im Rahmen des Angriffs verwendet werden, gehören ein legitimes Dienstprogramm namens netscan.exe, um das Netzwerk auf seitliche Bewegungen zu scannen, sowie die Dateisynchronisierungssoftware rclone, um interessante Verzeichnisse in den MEGA-Cloud-Speicherdienst zu exfiltrieren.
Die Forscher von Team Cymru haben das BackConnect (BC)-Protokoll genauer unter die Lupe genommen, mit dem IcedID nach der Kompromittierung zusätzliche Funktionen bereitstellt, darunter ein VNC-Modul, das einen Fernzugriffskanal bietet.
„Im Fall von BC scheinen zwei Personen den Gesamtprozess in unterschiedlichen Rollen zu verwalten“, stellten die Forscher letzten Monat fest und fügten hinzu, dass „ein Großteil der Aktivitäten […] während der typischen Arbeitswoche stattfindet“.
Diese Entwicklung folgt auf einen Bericht von Proofpoint vom November 2022, in dem ein Wiederaufleben der Emotet-Aktivitäten mit der Verbreitung einer neuen Version von IcedID in Verbindung gebracht wurde.