Neue IcedID-Malware-Kampagne zielt auf ungepatchte Exchange Server (März 2022)

Sicherheit (Pexels, allgemeine Nutzung)[English]Noch ein Hinweis an Administratoren von Microsoft Exchange Servern. Sicherheitsforscher haben eine Malware-Kampagne beobachtet, die den IcedID-Banking-Trojaner verteilt und auf Microsoft Exchange Server zielt, die nicht alle Sicherheitsupdates erhalten haben. Die Angreifer versuchen sich in bestehende E-Mail-Threads einzuklinken und dort bösartige Nutzlasten einzuschleusen.


Anzeige

Der Sicherheitsanbieter Intezer hat zum 28. März 2022 den Beitrag New Conversation Hijacking Campaign Delivering IcedID veröffentlicht, in dem auf das betreffende Thema aufmerksam gemacht wird.

Intezer on IcedID malware

Malware von der Stange auf Bestellung

Inzwischen können Cyber-Kriminelle Ransomware von sogenannten Access Brokern, die die Infrastruktur zur Infektion von Systemen bereitstellen, kaufen. Diese Broker infizieren ihre Opfer größtenteils mit Banking-Trojanern, die später dazu verwendet werden, von den Auftraggebern bestellte Malware auf den Systemen der Opfer zu installieren.

Einer dieser zur Verbreitung von Ransomware verwendeten Banking-Trojaner ist IcedID (BokBot). IBM X-Force berichtete erstmals im November 2017 über IcedID. Der Trojaner teilt einen Teil des Codes mit der Pony-Malware. Ursprünglich war die Malware, wie viele andere Banking-Trojaner, für den Diebstahl von Bankdaten gedacht. Dann wurde IcedID aber für die Verbreitung anderer Malware auf den infizierten Computern umgewidmet.


Anzeige

Infektion per Phishing-Mail

Eine Möglichkeit, IcedID verwendet, um Rechner zu infizieren, sind Phishing-E-Mails. Die übliche Infektionskette besteht aus einer E-Mail mit einem angehängten kennwortgeschützten "zip"-Archiv. In diesem Archiv befindet sich ein makroaktiviertes Office-Dokument, das das IcedID-Installationsprogramm ausführt. In einigen Phishing-E-Mails werden zuvor gestohlene E-Mails wiederverwendet, um den Köder für das Opfer noch überzeugender zu machen.

Da passt auch obiger Tweet, dass Akteure E-Mail-Konten von Polizei oder Behörden hacken, um Notfall-Datenauskünfte über Opfer abzurufen. Die haben mit dieser Masche ziemlichen Erfolg und gelangen so an die Opferdaten, wie Brian Krebs berichtet.

Neue IcedID-Phishing-Kampagne entdeckt

Im Beitrag New Conversation Hijacking Campaign Delivering IcedID erwähnen die Sicherheitsforscher, dass Mitte März 2022 eine neue Phishing-Kampagne zur Verbreitung des IcedID-Trojaners entdeckt wurde. Dabei fiel ein Weiterentwicklung der Technik der Bedrohungsakteure auf. Die Bedrohungsakteure versuchen Microsoft Exchange-Server zu kompromittieren. Dann werden weitere Phishing-E-Mails von Konten des Exchange-Servers versandet, wobei diese auf Mails zurückgreifen, die bereits im Postfach vorhanden sind. Dadurch ist die Erkennung des Phishing-Versuchs für die Opfer sehr schwierig, da auf legitime Mails geantwortet wird.

IcedID infection chain
IcedID-Infektionskette, Quelle: Intezer

Auch die Nutzlast hat sich von Office-Dokumenten auf ISO-Dateien mit einer Windows-LNK-Datei und einer DLL-Datei verlagert. Durch die Verwendung von ISO-Dateien können die Bedrohungsakteure die Mark-of-the-Web-Kontrollen umgehen, was dazu führt, dass die Malware ohne Warnung an den Benutzer ausgeführt wird. Zu den Zielgruppen zählen Unternehmen aus den Bereichen Energie, Gesundheitswesen, Recht und Pharmazie.

IcedID phishing mail

Die Angriffskette beginnt mit einer Phishing-E-Mail. Die E-Mail enthält eine Nachricht über ein wichtiges Dokument und hat eine passwortgeschützte "zip"-Archivdatei als Anhang. Das Kennwort für das Archiv wird im E-Mail-Text angegeben, wie auf dem Screenshot zu sehen ist. Was die Phishing-E-Mail noch überzeugender macht, ist die Tatsache, dass sie Conversation Hijacking (Thread Hijacking) einsetzt. Es wird eine gefälschte Antwort auf eine zuvor gestohlene E-Mail verwendet. Außerdem wurde die E-Mail von dem E-Mail-Konto gesendet, von dem die E-Mail gestohlen wurde.

Der Inhalt des Zip-Archivs enthält eine einzelne "ISO"-Datei mit demselben Dateinamen wie das ZIP-Archiv.Die ISO-Datei eine LNK-Datei namens "document" und eine DLL-Datei namens "main". Alle Nutzlasten werden dabei ggf. zeitnah generiert. Die LNK-Datei wurde über eine eingebettete Symboldatei so gestaltet, dass sie wie eine Dokumentendatei aussieht. Die DLL-Datei wird mittels  eines "regsvr32"-Befehls ausgeführt, sobald ein Benutzer auf die Link-Datei doppelklickt.

Die Verwendung von regsvr32 ermöglicht die Proxy-Ausführung von bösartigem Code in main.dll zur Umgehung von Abwehrmaßnahmen. Denn die DLL-Datei dient als Ladeprogramm für die IcedID-Nutzlast. Sie enthält eine Reihe von Exporten, von denen die meisten aus Junk-Code bestehen. Der Lader zieht die verschlüsselte Nutzlast aus dem Ressourcenteil der Binärdatei mit Hilfe der API-Hashing-Technik.

Die meisten Exchange-Server, die die Sicherheitsforscher als kompromittiert beobachtet haben, scheinen nicht gepatcht und öffentlich zugänglich zu sein. Der Verdacht geht dahin, dass der ProxyShell-Vektor für die Infektion missbraucht wurde. Aber die Sicherheitsforscher haben auch Phishing-E-Mail gefunden, die über einen scheinbar "internen" Exchange-Server verschickt wurden. Die Details zu den Mails und den Nutzlasten lassen sich im Beitrag New Conversation Hijacking Campaign Delivering IcedID nachlesen. Fazit aus der Kampagne: Sicherstellen, dass die Exchange-Server nicht per Internet (über OWA) erreichbar und vor allem auf dem aktuellen Patchstand sind.

Ähnliche Artikel:
Windows: Sicherheitslücke über LNK-Codeausführung
SANS ISC warnt: Bösartige ISO-Datei in HTML-Seite eingebettet (Jan 2022)


Anzeige

Dieser Beitrag wurde unter Mail, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Neue IcedID-Malware-Kampagne zielt auf ungepatchte Exchange Server (März 2022)

  1. Christian Krause sagt:

    Beim Kunden gesehen.
    Es wurde ein vermeintliches Sachverständigen Gutachten verschickt, welches mein Kunde bei seinem infizierten Dienstleister angefragt hatte.
    Teufelszeug, weil die Antwort wie bestellt kam, lediglich ein Excel im verschlüsselten zip hat ihn aufhorchen lassen.
    In meinem Fall wurde statt einem Anhang eine Datei per onedrive Link geteilt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.