Serangan malware IcedID baru baru ini memungkinkan pelaku ancaman untuk mengkompromikan domain Active Directory dari target yang tidak disebutkan namanya kurang dari 24jam setelah mendapatkan akses awal.
IcedID, juga dikenal dengan nama BokBOt memulai hidupnya sebagai trojan perbankan pada a=tahu 2017 sebelum berkemban menjadi dropper untuk malware lainnya, bergabung dengen Emotet, TrickBot, Qakbot, Bumblebee, dan Raspberry Robin.
Serangan yang melibatkan pengiriman IcedID telah memanfaatkan berbagai metode, terutama setelah keputusan Microsoft untuk memblokir makro dari Office yang diunduh
Malware kemudian membangun kegigihan pada host melalui tugas terjadwal dan berkomunikasi dengan server jarak jauh untuk mengunduh muatan tambahan, termasuk Cobalt Strike Beacon untuk kegiatan pengintaian lanjutan.
Itu juga melakukan gerakan lateral di seluruh jaringan dan mengeksekusi Cobalt Strike Beacon yang sama di semua workstation tersebut, dan kemudian mulai menginstal agen Atera, alat administrasi jarak jauh yang sah, sebagai mekanisme akses jarak jauh yang berlebihan.
Cobalt Strike Beacon selanjutnya digunakan sebagai saluran untuk mengunduh alat C# yang dijuluki Rubeus untuk pencurian kredensial, yang pada akhirnya memungkinkan pelaku ancaman untuk berpindah secara lateral ke Server Windows dengan hak admin domain.
Izin yang ditingkatkan kemudian dipersenjatai untuk melakukan serangan DCSync, memungkinkan musuh untuk mensimulasikan perilaku pengontrol domain (DC) dan mengambil kredensial dari pengontrol domain lainnya.
Temuan ini muncul saat para peneliti dari Team Cymru menjelaskan lebih lanjut tentang protokol BackConnect (BC) yang digunakan oleh IcedID untuk memberikan fungsionalitas tambahan pasca kompromi, termasuk modul VNC yang menyediakan saluran akses jarak jauh.
Perkembangan tersebut juga mengikuti laporan dari Proofpoint pada November 2022 bahwa kebangkitan aktivitas Emotet telah dikaitkan dengan distribusi versi baru IcedID.
sumber : thehackernews
