[English]Noch ein Hinweis an Administratoren von Microsoft Exchange Servern. Sicherheitsforscher haben eine Malware-Kampagne beobachtet, die den IcedID-Banking-Trojaner verteilt und auf Microsoft Exchange Server zielt, die nicht alle Sicherheitsupdates erhalten haben. Die Angreifer versuchen sich in bestehende E-Mail-Threads einzuklinken und dort bösartige Nutzlasten einzuschleusen.
Anzeige
Der Sicherheitsanbieter Intezer hat zum 28. März 2022 den Beitrag New Conversation Hijacking Campaign Delivering IcedID veröffentlicht, in dem auf das betreffende Thema aufmerksam gemacht wird.
Malware von der Stange auf Bestellung
Inzwischen können Cyber-Kriminelle Ransomware von sogenannten Access Brokern, die die Infrastruktur zur Infektion von Systemen bereitstellen, kaufen. Diese Broker infizieren ihre Opfer größtenteils mit Banking-Trojanern, die später dazu verwendet werden, von den Auftraggebern bestellte Malware auf den Systemen der Opfer zu installieren.
Einer dieser zur Verbreitung von Ransomware verwendeten Banking-Trojaner ist IcedID (BokBot). IBM X-Force berichtete erstmals im November 2017 über IcedID. Der Trojaner teilt einen Teil des Codes mit der Pony-Malware. Ursprünglich war die Malware, wie viele andere Banking-Trojaner, für den Diebstahl von Bankdaten gedacht. Dann wurde IcedID aber für die Verbreitung anderer Malware auf den infizierten Computern umgewidmet.
Infektion per Phishing-Mail
Eine Möglichkeit, IcedID verwendet, um Rechner zu infizieren, sind Phishing-E-Mails. Die übliche Infektionskette besteht aus einer E-Mail mit einem angehängten kennwortgeschützten "zip"-Archiv. In diesem Archiv befindet sich ein makroaktiviertes Office-Dokument, das das IcedID-Installationsprogramm ausführt. In einigen Phishing-E-Mails werden zuvor gestohlene E-Mails wiederverwendet, um den Köder für das Opfer noch überzeugender zu machen.
Da passt auch obiger Tweet, dass Akteure E-Mail-Konten von Polizei oder Behörden hacken, um Notfall-Datenauskünfte über Opfer abzurufen. Die haben mit dieser Masche ziemlichen Erfolg und gelangen so an die Opferdaten, wie Brian Krebs berichtet.
Neue IcedID-Phishing-Kampagne entdeckt
Im Beitrag New Conversation Hijacking Campaign Delivering IcedID erwähnen die Sicherheitsforscher, dass Mitte März 2022 eine neue Phishing-Kampagne zur Verbreitung des IcedID-Trojaners entdeckt wurde. Dabei fiel ein Weiterentwicklung der Technik der Bedrohungsakteure auf. Die Bedrohungsakteure versuchen Microsoft Exchange-Server zu kompromittieren. Dann werden weitere Phishing-E-Mails von Konten des Exchange-Servers versandet, wobei diese auf Mails zurückgreifen, die bereits im Postfach vorhanden sind. Dadurch ist die Erkennung des Phishing-Versuchs für die Opfer sehr schwierig, da auf legitime Mails geantwortet wird.
Anzeige
IcedID-Infektionskette, Quelle: Intezer
Auch die Nutzlast hat sich von Office-Dokumenten auf ISO-Dateien mit einer Windows-LNK-Datei und einer DLL-Datei verlagert. Durch die Verwendung von ISO-Dateien können die Bedrohungsakteure die Mark-of-the-Web-Kontrollen umgehen, was dazu führt, dass die Malware ohne Warnung an den Benutzer ausgeführt wird. Zu den Zielgruppen zählen Unternehmen aus den Bereichen Energie, Gesundheitswesen, Recht und Pharmazie.
Die Angriffskette beginnt mit einer Phishing-E-Mail. Die E-Mail enthält eine Nachricht über ein wichtiges Dokument und hat eine passwortgeschützte "zip"-Archivdatei als Anhang. Das Kennwort für das Archiv wird im E-Mail-Text angegeben, wie auf dem Screenshot zu sehen ist. Was die Phishing-E-Mail noch überzeugender macht, ist die Tatsache, dass sie Conversation Hijacking (Thread Hijacking) einsetzt. Es wird eine gefälschte Antwort auf eine zuvor gestohlene E-Mail verwendet. Außerdem wurde die E-Mail von dem E-Mail-Konto gesendet, von dem die E-Mail gestohlen wurde.
Der Inhalt des Zip-Archivs enthält eine einzelne "ISO"-Datei mit demselben Dateinamen wie das ZIP-Archiv.Die ISO-Datei eine LNK-Datei namens "document" und eine DLL-Datei namens "main". Alle Nutzlasten werden dabei ggf. zeitnah generiert. Die LNK-Datei wurde über eine eingebettete Symboldatei so gestaltet, dass sie wie eine Dokumentendatei aussieht. Die DLL-Datei wird mittels eines "regsvr32"-Befehls ausgeführt, sobald ein Benutzer auf die Link-Datei doppelklickt.
Die Verwendung von regsvr32 ermöglicht die Proxy-Ausführung von bösartigem Code in main.dll zur Umgehung von Abwehrmaßnahmen. Denn die DLL-Datei dient als Ladeprogramm für die IcedID-Nutzlast. Sie enthält eine Reihe von Exporten, von denen die meisten aus Junk-Code bestehen. Der Lader zieht die verschlüsselte Nutzlast aus dem Ressourcenteil der Binärdatei mit Hilfe der API-Hashing-Technik.
Die meisten Exchange-Server, die die Sicherheitsforscher als kompromittiert beobachtet haben, scheinen nicht gepatcht und öffentlich zugänglich zu sein. Der Verdacht geht dahin, dass der ProxyShell-Vektor für die Infektion missbraucht wurde. Aber die Sicherheitsforscher haben auch Phishing-E-Mail gefunden, die über einen scheinbar "internen" Exchange-Server verschickt wurden. Die Details zu den Mails und den Nutzlasten lassen sich im Beitrag New Conversation Hijacking Campaign Delivering IcedID nachlesen. Fazit aus der Kampagne: Sicherstellen, dass die Exchange-Server nicht per Internet (über OWA) erreichbar und vor allem auf dem aktuellen Patchstand sind.
Ähnliche Artikel:
Windows: Sicherheitslücke über LNK-Codeausführung
SANS ISC warnt: Bösartige ISO-Datei in HTML-Seite eingebettet (Jan 2022)
2015
Beim Kunden gesehen.
Es wurde ein vermeintliches Sachverständigen Gutachten verschickt, welches mein Kunde bei seinem infizierten Dienstleister angefragt hatte.
Teufelszeug, weil die Antwort wie bestellt kam, lediglich ein Excel im verschlüsselten zip hat ihn aufhorchen lassen.
In meinem Fall wurde statt einem Anhang eine Datei per onedrive Link geteilt.