One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8517378 |
| Date de publication | 2024-06-12 20:22:36 (vue: 2024-06-13 20:10:23) |
| Titre | IceDID apporte ScreenConnect et CSHARP Streamer au déploiement des ransomwares Alphv IcedID Brings ScreenConnect and CSharp Streamer to ALPHV Ransomware Deployment |
| Texte | ## Instantané Les chercheurs du rapport DFIR ont publié une analyse approfondie d'une cyber-intrusion d'octobre 2023 impliquant le déploiement de [icedid] (https://security.microsoft.com/intel-profiles/ee69395aeeea2b2322d5941be0ec497a22d106f671EF84D35418EC2810FADDB), [Strike Cobalt] (https://security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795fe //security.microsoft.com/intel-profiles/5e2d288cf697eb7a6cadf420da45bbf540ff71f76d9b0b21792f3ca9668068b). ## Description ÈmeLes acteurs de la menace ont acquis un accès initial via un e-mail malveillant distribuant une archive zip contenant un script de base visuel (VBS) et un fichier de lecture bénin, qui fait partie d'une campagne de spam offrant une variante de glace.Ce chargeur, priorisant la livraison de charge utile sur ses fonctions bancaires d'origine, a créé une tâche planifiée de persistance et communiqué avec un serveur de commande et de contrôle, supprimant une autre DLL icedid. L'attaquant a ensuite utilisé ScreenConnect pour la télécommande, exécuté des commandes de reconnaissance et déployé des balises de frappe de cobalt.En utilisant des outils tels que CSHARP Streamer pour l'accès des informations d'identification et RCLONE pour l'exfiltration des données, l'attaquant a maintenu la persistance et a mené la découverte de réseau.Les acteurs de la menace ont également exploité les utilitaires Windows natifs, RDP, et un outil personnalisé appelé Confucius \ _cpp.exe pour des actions malveillantes.Finalement, ils ont mis en scène et exécuté des ransomwares AlphV, supprimant les sauvegardes et laissant des notes de ransomne sur les hôtes compromis. ## Analyse Microsoft Les logiciels malveillants icedid, parfois appelés Bokbot, est un troyen bancaire modulaire observé pour la première fois en 2017. Bien qu'il ait des capacités similaires à d'autres troyens bancaires plus anciens et prolifiques, y compris Zeus et Gozi-It ne semble pas partager du code avec eux.Depuis 2017, Icedid a évolué de ses origines en tant que Troie bancaire ordinaire pour devenir un point d'entrée pour des attaques plus sophistiquées, y compris des ransomwares à hume. En savoir plus ici sur la couverture de [IceDID] (https://security.microsoft.com/intel-profiles/ee69395aeea23222d5941elec4997a22d106f671ef84d3541810faddb) et [cobalt.crosoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc).Microsoft suit Alphv comme [Blackcat Ransomware] (https://security.microsoft.com/intel-profiles/5e2d288cf697eb7a6cadf420da45bbf540ff71f76d9b0b21792f3ca9668068b). ## Détections / requêtes de chasse #### Microsoft Defender Antivirus Microsoft Defender anLe tivirus détecte les composants de la menace comme le malware suivant: - [Trojandownloader: o97m / iceDID] (https://www.microsoft.com/en-us/wdssi/Threats/Malware-encyClopedia-Description?name=trojandownOader:o97m/iceD& ;thereatid=-2147100260)) - [Trojan: Win64 / IceDID] (HTtps: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription? name = trojan: win64 / icedid & menaceID = -2147150333) - [Trojan: Win32 / IceDID] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/iced) - [Trojan: win64 / cryptinject] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription? name = trojan: win64 / cryptinject & menaceID = -2147239683) - [Trojan: Win32 / Seheq] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/seheq& ;theretid=-2147126551) - [Ransom: win32 / blackcat] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-description?name = rançon: win32 / blackcat & menaceid = -2147158032) - [Trojan: win32 / znyonm] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encycopedia-description? name = trojan: win32 / znyonm & menaceid = -2147076851) #### Détection et réponse des points de terminaison (EDR) Les alertes avec |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | #### 2017 2023 2024 2147076851 2147100260 2147126551 2147150333 2147158032 2147239683 365 365#recommended 365/security/office about about access accessed actions activities activity actors addresses administrator advanced against alerts all allowed alphv also among analysis and another antispam antivirus antivirus/enable appear applications apply arbitrary archive are artificial associated atp atp/attack attachments attack attacker attacks attempts audit authority automatic backups banking based basic beacons become benign blackcat block bokbot brings business bypass bypassing called campaign can capabilities cards caution center check child cloud cobalt code com/2024/06/10/icedid com/en com/exchange/troubleshoot/antispam/cautions com/intel com/microsoft com/windows/security/threat command commands communicated communication components compromised conducted confucius containing control coverage cpp created creating credential csharp custom cyber data defender deleting delivered delivering delivery deployed deployment deployment/ depth description detected detection detections/hunting detects determine devices dfir discovery distributing dll document does domains droppers dropping edr educate email emails encyclopedia end endpoint endpoints enforce enhanced ensure entry even eventually evolved exe executable executed exfiltration explorer explorer#system extra file filter filtering filters firewall first flow following following for from functions gained gozi harmful has have here holes honor hosts however https://aka https://docs https://security https://thedfirreport https://www human icedid identify identifying impact including indicate indication infection information initial injection intelligence intrusion involving its laps lateral launched learning leaving let leveraged like like limits lists loader local low lsass lures machine mail mailboxes maintained malicious malware malware: media messages microsoft might mitigations modular monitored more movement ms/laps name=ransom:win32/blackcat&threatid= name=trojan:win32/icedid name=trojan:win32/seheq&threatid= name=trojan:win32/znyonm&threatid= name=trojan:win64/cryptinject&threatid= name=trojan:win64/icedid&threatid= name=trojandownloader:o97m/icedid&threatid= native network network: new not notes o365 observed october office older on operated organizations original origins other over overrides part pass passwords payload persistence personal phishing point policies policy polymorphic portal possible possibly potentially prevent prevention prioritizing process processes profiles/5e2d288cf697eb7a6cadf420da45bbbf540ff71f76d9b0b21792f3ca9668068b profiles/ee69395aeeea2b2322d5941be0ec4997a22d106f671ef84d35418ec2810faddb profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc prolific protecting protection protection/intelligence/prevent protection/microsoft provided published queries quickly randomized ransom ransom:win32/blackcat ransomware rclone rdp reached read readme recipient recommendations reconnaissance reduce reduction reduction#block reduction#use references referred regular related remote renamed report reporting reputation researchers response review rpc rules safe sample scheduled screenconnect script security security/configure security/create security/office security/threat sender senders server settings share signed similar since smb snapshot social sometimes sophisticated spam spear spoofed staged status stealing stop streamer strike strong submission subsystem surface suspicious system task them then these threat threat: threats through titles tool tools tracks triggered trojan trojan:win32/icedid trojan:win32/seheq trojan:win32/znyonm trojan:win64/cryptinject trojan:win64/icedid trojandownloader:o97m/icedid trojans trusted turn unknown unrelated unsolicited us/wdsi/threats/malware use used users using utilities utilizing variant variants vbs view=o365 visual watering well when whenever why will windows worldwide your your zeus zip and for in to |
| Tags | Ransomware Spam Malware Tool Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.