{"id":263886,"date":"2022-03-30T14:26:00","date_gmt":"2022-03-30T12:26:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=263886"},"modified":"2022-03-31T00:34:26","modified_gmt":"2022-03-30T22:34:26","slug":"neue-icedid-malware-kampagne-zielt-auf-ungepatchte-exchange-server-mrz-2022","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/03\/30\/neue-icedid-malware-kampagne-zielt-auf-ungepatchte-exchange-server-mrz-2022\/","title":{"rendered":"Neue IcedID-Malware-Kampagne zielt auf ungepatchte Exchange Server (März 2022)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Noch ein Hinweis an Administratoren von Microsoft Exchange Servern. Sicherheitsforscher haben eine Malware-Kampagne beobachtet, die den IcedID-Banking-Trojaner verteilt und auf Microsoft Exchange Server zielt, die nicht alle Sicherheitsupdates erhalten haben. Die Angreifer versuchen sich in bestehende E-Mail-Threads einzuklinken und dort b\u00f6sartige Nutzlasten einzuschleusen.<\/p>\n

<\/p>\n

\"\"Der Sicherheitsanbieter Intezer hat zum 28. M\u00e4rz 2022 den Beitrag New Conversation Hijacking Campaign Delivering IcedID<\/a> ver\u00f6ffentlicht, in dem auf das betreffende Thema aufmerksam gemacht wird.<\/p>\n

\"Intezer<\/p>\n

Malware von der Stange auf Bestellung<\/h2>\n

Inzwischen k\u00f6nnen Cyber-Kriminelle Ransomware von sogenannten Access Brokern, die die Infrastruktur zur Infektion von Systemen bereitstellen, kaufen. Diese Broker infizieren ihre Opfer gr\u00f6\u00dftenteils mit Banking-Trojanern, die sp\u00e4ter dazu verwendet werden, von den Auftraggebern bestellte Malware auf den Systemen der Opfer zu installieren.<\/p>\n

Einer dieser zur Verbreitung von Ransomware verwendeten Banking-Trojaner ist IcedID (BokBot). IBM X-Force berichtete<\/a> erstmals im November 2017 \u00fcber IcedID. Der Trojaner teilt einen Teil des Codes mit der Pony-Malware<\/a>. Urspr\u00fcnglich war die Malware, wie viele andere Banking-Trojaner, f\u00fcr den Diebstahl von Bankdaten gedacht. Dann wurde IcedID aber f\u00fcr die Verbreitung anderer Malware auf den infizierten Computern umgewidmet.<\/p>\n

Infektion per Phishing-Mail<\/h2>\n

Eine M\u00f6glichkeit, IcedID verwendet, um Rechner zu infizieren, sind Phishing-E-Mails. Die \u00fcbliche Infektionskette besteht aus einer E-Mail mit einem angeh\u00e4ngten kennwortgesch\u00fctzten \"zip\"-Archiv. In diesem Archiv befindet sich ein makroaktiviertes Office-Dokument, das das IcedID-Installationsprogramm ausf\u00fchrt. In einigen Phishing-E-Mails werden zuvor gestohlene E-Mails wiederverwendet, um den K\u00f6der f\u00fcr das Opfer noch \u00fcberzeugender zu machen.<\/p>\n

<\/a><\/p>\n

Da passt auch obiger Tweet<\/a>, dass Akteure E-Mail-Konten von Polizei oder Beh\u00f6rden hacken, um Notfall-Datenausk\u00fcnfte \u00fcber Opfer abzurufen. Die haben mit dieser Masche ziemlichen Erfolg und gelangen so an die Opferdaten, wie Brian Krebs berichtet.<\/p>\n

Neue IcedID-Phishing-Kampagne entdeckt<\/h2>\n

Im Beitrag New Conversation Hijacking Campaign Delivering IcedID<\/a> erw\u00e4hnen die Sicherheitsforscher, dass Mitte M\u00e4rz 2022 eine neue Phishing-Kampagne zur Verbreitung des IcedID-Trojaners entdeckt wurde. Dabei fiel ein Weiterentwicklung der Technik der Bedrohungsakteure auf. Die Bedrohungsakteure versuchen Microsoft Exchange-Server zu kompromittieren. Dann werden weitere Phishing-E-Mails von Konten des Exchange-Servers versandet, wobei diese auf Mails zur\u00fcckgreifen, die bereits im Postfach vorhanden sind. Dadurch ist die Erkennung des Phishing-Versuchs f\u00fcr die Opfer sehr schwierig, da auf legitime Mails geantwortet wird.<\/p>\n

\"IcedID<\/a>
\nIcedID-Infektionskette, Quelle: Intezer<\/p>\n

Auch die Nutzlast hat sich von Office-Dokumenten auf ISO-Dateien mit einer Windows-LNK-Datei und einer DLL-Datei verlagert. Durch die Verwendung von ISO-Dateien k\u00f6nnen die Bedrohungsakteure die Mark-of-the-Web-Kontrollen umgehen, was dazu f\u00fchrt, dass die Malware ohne Warnung an den Benutzer ausgef\u00fchrt wird. Zu den Zielgruppen z\u00e4hlen Unternehmen aus den Bereichen Energie, Gesundheitswesen, Recht und Pharmazie.<\/p>\n

\"IcedID<\/p>\n

Die Angriffskette beginnt mit einer Phishing-E-Mail. Die E-Mail enth\u00e4lt eine Nachricht \u00fcber ein wichtiges Dokument und hat eine passwortgesch\u00fctzte \"zip\"-Archivdatei als Anhang. Das Kennwort f\u00fcr das Archiv wird im E-Mail-Text angegeben, wie auf dem Screenshot zu sehen ist. Was die Phishing-E-Mail noch \u00fcberzeugender macht, ist die Tatsache, dass sie Conversation Hijacking (Thread Hijacking) einsetzt. Es wird eine gef\u00e4lschte Antwort auf eine zuvor gestohlene E-Mail verwendet. Au\u00dferdem wurde die E-Mail von dem E-Mail-Konto gesendet, von dem die E-Mail gestohlen wurde.<\/p>\n

Der Inhalt des Zip-Archivs enth\u00e4lt eine einzelne \"ISO\"-Datei mit demselben Dateinamen wie das ZIP-Archiv.Die ISO-Datei eine LNK-Datei namens \"document\" und eine DLL-Datei namens \"main\". Alle Nutzlasten werden dabei ggf. zeitnah generiert. Die LNK-Datei wurde \u00fcber eine eingebettete Symboldatei so gestaltet, dass sie wie eine Dokumentendatei aussieht. Die DLL-Datei wird mittels\u00a0 eines \"regsvr32\"-Befehls ausgef\u00fchrt, sobald ein Benutzer auf die Link-Datei doppelklickt.<\/p>\n

Die Verwendung von regsvr32 erm\u00f6glicht die Proxy-Ausf\u00fchrung von b\u00f6sartigem Code in main.dll<\/em> zur Umgehung von Abwehrma\u00dfnahmen. Denn die DLL-Datei dient als Ladeprogramm f\u00fcr die IcedID-Nutzlast. Sie enth\u00e4lt eine Reihe von Exporten, von denen die meisten aus Junk-Code bestehen. Der Lader zieht die verschl\u00fcsselte Nutzlast aus dem Ressourcenteil der Bin\u00e4rdatei mit Hilfe der API-Hashing-Technik.<\/p>\n

Die meisten Exchange-Server, die die Sicherheitsforscher als kompromittiert beobachtet haben, scheinen nicht gepatcht und \u00f6ffentlich zug\u00e4nglich zu sein. Der Verdacht geht dahin, dass der ProxyShell-Vektor f\u00fcr die Infektion missbraucht wurde. Aber die Sicherheitsforscher haben auch Phishing-E-Mail gefunden, die \u00fcber einen scheinbar \"internen\" Exchange-Server verschickt wurden. Die Details zu den Mails und den Nutzlasten lassen sich im Beitrag New Conversation Hijacking Campaign Delivering IcedID<\/a> nachlesen. Fazit aus der Kampagne: Sicherstellen, dass die Exchange-Server nicht per Internet (\u00fcber OWA) erreichbar und vor allem auf dem aktuellen Patchstand sind.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nWindows: Sicherheitsl\u00fccke \u00fcber LNK-Codeausf\u00fchrung<\/a>
\nSANS ISC warnt: B\u00f6sartige ISO-Datei in HTML-Seite eingebettet (Jan 2022)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Noch ein Hinweis an Administratoren von Microsoft Exchange Servern. Sicherheitsforscher haben eine Malware-Kampagne beobachtet, die den IcedID-Banking-Trojaner verteilt und auf Microsoft Exchange Server zielt, die nicht alle Sicherheitsupdates erhalten haben. Die Angreifer versuchen sich in bestehende E-Mail-Threads einzuklinken und dort … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2039,426],"tags":[5359,4328],"class_list":["post-263886","post","type-post","status-publish","format-standard","hentry","category-mail","category-sicherheit","tag-exchange","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263886","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=263886"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263886\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=263886"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=263886"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=263886"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}