One Article Review
| Source |  ProofPoint |
|---|---|
| Identifiant | 8402897 |
| Date de publication | 2023-10-30 07:40:00 (vue: 2023-10-30 17:08:14) |
| Titre | Mémoire de sécurité: TA571 fournit un chargeur à fourche icedid Security Brief: TA571 Delivers IcedID Forked Loader |
| Texte | Ce qui s'est passé Les chercheurs de Proofpoint ont identifié TA571 livrant la variante fourchue de l'IceDID dans deux campagnes les 11 et 18 octobre 2023. Les deux campagnes comprenaient plus de 6 000 messages, chacun plus de 1 200 clients dans une variété d'industries dans le monde. Les e-mails dans les campagnes prétendaient être des réponses aux threads existants.Ceci est connu sous le nom de détournement de fil.Les e-mails contenaient 404 URL TDS liant au téléchargement d'une archive zip protégée par mot de passe avec le mot de passe répertorié dans l'e-mail.La chaîne d'attaque comprenait une série de contrôles pour valider le destinataire avant de livrer les archives zip. TA571 LURE Utilisé dans une campagne Icedid le 11 octobre 2023. Le fichier zip contenait un script VBS et un fichier texte bénin.Le script VBS, s'il est double de l'utilisateur, exécuté un chargeur fourchu icedid intégré à regsvr32.Le chargeur a à son tour téléchargé le bot icedid. L'utilisation de la variante iceide fourchue est inhabituelle, car elle n'a été observée que dans un petit nombre de campagnes.ProofPoint a d'abord identifié cette variante en février 2023. Une différence clé entre la variante iceide d'origine et la variante fourchue était l'élimination de la fonctionnalité bancaire.À l'époque, les acteurs évalués par Proofpoint utilisaient les variantes modifiées pour pivoter les logiciels malveillants loin de l'activité de Troie bancaire et de la fraude bancaire typique pour se concentrer sur la livraison de la charge utile, ce qui comprend probablement la hiérarchisation des ransomwares. TA571 utilise régulièrement 404 TD dans des campagnes pour fournir des logiciels malveillants, notamment Asyncrat, Netsupport et Darkgate.Les chercheurs de ProofPoint suivent 404 TDS depuis au moins septembre 2022, et il est utilisé par un certain nombre d'acteurs de menace.Un système de distribution de trafic (TDS) est une application utilisée pour acheminer le trafic Web via des serveurs contrôlés par l'opérateur.Ils peuvent être utilisés par les acteurs de la menace pour rediriger le trafic vers des téléchargements de logiciels malveillants et utiliser le filtrage IP pour déterminer s'il faut livrer une charge utile ou rediriger vers un site Web de récolte d'identification.ProofPoint évalue 404 TDS est probablement partagé ou vendu à d'autres acteurs en raison de son implication dans une variété de campagnes de phishing et de logiciels malveillantes sans rapport. Attribution TA571 est un distributeur de spam, et cet acteur envoie des campagnes de courriel de spam à volume élevé pour livrer et installer un logiciel malveillant variété pour leurs clients cybercriminaux, selon les objectifs de l'opérateur ultérieur.ProofPoint évalue avec une grande confiance que les infections à TA571 peuvent conduire à des ransomwares. Pourquoi est-ce important La livraison de Ta571 \\ de la variante iceide fourchue est unique car le point de preuve ne les observe pas souvent dans les données de menace.De plus, Proofpoint considère TA571 comme un acteur sophistiqué de menace cybercriminale.Sa chaîne d'attaque comprend un filtrage unique utilisant des «portes» intermédiaires pour que le trafic passe.Ces portes, qui sont des URL intermédiaires, filtrent le trafic basé sur la propriété intellectuelle et la géo-clôture.TA571 peut avoir jusqu'à deux portes par campagne.Il s'agit de garantir que seuls les utilisateurs spécifiquement ciblés reçoivent les logiciels malveillants et contourner l'activité automatisée de sable ou le chercheur. Signatures des menaces émergentes 2853110 - ETPRO EXPLOIT_KIT 404 TDS Redirect 2032086 - ET Trojan Win32 / Cookie de demande IceDide 2847335 - ETPRO TROJAN WIN32 / IceDID Stage2 Checkin 2032086 - ET Trojan Win32 / Cookie de demande IceDideIndicateurs de compromis Indicateur Description D'abord observé 6C6A68DA31204CFE93EE86CD85CF668A20259220AD44341B3915396E263E4F86 Exemple de charge utile SHA256 Hlsv1249_5361051.zip |
| Envoyé | Oui |
| Condensat | 000 0050 0a61d734db49fdf92f018532b2d5e512e90ae0b1657c277634aa06e7b71833c4 200 2022 2023 2032086 2847335 2853110 404 5361051 57897b750473215a2ea6a15070ad5334465019ea4847a2c3c92dae8e5845b2c4 5d5bc4f497406b59369901b9a79e1e9d1e0a690c0b2e803f4fbfcb391bcfeef1 6c6a68da31204cfe93ee86cd85cf668a20259220ad44341b3915396e263e4f86 a12045a6177dd32af8b39dea93fa92962ff1716381d0d137dede1fc75ecd2c0c activity actor actors additionally application archive are assessed assesses asyncrat attack attribution automated away banking based been before benign between bot both brandworks brief: bypass campaign campaigns can chain checkin checks clicked com com/news/1/255/0 com/qd com/wfhfxtktx communication compacta compromise confidence considers contained controlled cookie cornerbakeryrestaurant credential customers cybercriminal darkgate data deliver delivering delivers delivery depending description determine difference distribution distributor dll does domain double download downloaded downloads due each ekaraj email emails embedded emerging ensure etpro example example existing exploit february fencing file filter filtering first focus forked fraud from functionality gate gates geo globally happened harvesting has have high hijacking hlsv1249 hxxps://gestionhqse hxxps://gilaniultrasound hxxps://jerryposter icedid icedid identified impacting included includes including indicator indicators industries infections install intermediary involvement its jonanna karo key kit known lead leads least liguys likely linking listed loader loader lure malware many matters may messages modalefastnow modified naughtycharlotte net netsupport not number objectives observe observed october offer often only operator opuscards original other over pass password payload per phishing pivot prioritizing proofpoint protected purported ran ransomware readme receive recipient redirect redirected redirect regsvr32 regularly removal replies request researcher researchers roatancruiseship route sandboxing script security sends september series servers sha256 sha256 shared signatures since small sold sophisticated spam specifically stage2 subsequent system ta571 targeted tds text then these thread threads threat threats through time tracking traffic trojan turn two txt typical unique unrelated unusual url urls use used useqacaw user users uses using validate variant variants variety vbs volume web website what whether which why will win32/icedid zip “gates” |
| Tags | Ransomware Spam Malware Threat |
| Stories | |
| Notes | ★★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.