IcedID

Malware IcedID Menyerang Lagi: Domain Direktori Aktif Tersusupi dalam Waktu Kurang dari 24 Jam

January 14, 2023 by Coffee Bean

Serangan malware IcedID baru baru ini memungkinkan pelaku ancaman untuk mengkompromikan domain Active Directory dari target yang tidak disebutkan namanya kurang dari 24jam setelah mendapatkan akses awal.

IcedID, juga dikenal dengan nama BokBOt memulai hidupnya sebagai trojan perbankan pada a=tahu 2017 sebelum berkemban menjadi dropper untuk malware lainnya, bergabung dengen Emotet, TrickBot, Qakbot, Bumblebee, dan Raspberry Robin.

Serangan yang melibatkan pengiriman IcedID telah memanfaatkan berbagai metode, terutama setelah keputusan Microsoft untuk memblokir makro dari Office yang diunduh

Malware kemudian membangun kegigihan pada host melalui tugas terjadwal dan berkomunikasi dengan server jarak jauh untuk mengunduh muatan tambahan, termasuk Cobalt Strike Beacon untuk kegiatan pengintaian lanjutan.

Itu juga melakukan gerakan lateral di seluruh jaringan dan mengeksekusi Cobalt Strike Beacon yang sama di semua workstation tersebut, dan kemudian mulai menginstal agen Atera, alat administrasi jarak jauh yang sah, sebagai mekanisme akses jarak jauh yang berlebihan.

Cobalt Strike Beacon selanjutnya digunakan sebagai saluran untuk mengunduh alat C# yang dijuluki Rubeus untuk pencurian kredensial, yang pada akhirnya memungkinkan pelaku ancaman untuk berpindah secara lateral ke Server Windows dengan hak admin domain.

Izin yang ditingkatkan kemudian dipersenjatai untuk melakukan serangan DCSync, memungkinkan musuh untuk mensimulasikan perilaku pengontrol domain (DC) dan mengambil kredensial dari pengontrol domain lainnya.

Temuan ini muncul saat para peneliti dari Team Cymru menjelaskan lebih lanjut tentang protokol BackConnect (BC) yang digunakan oleh IcedID untuk memberikan fungsionalitas tambahan pasca kompromi, termasuk modul VNC yang menyediakan saluran akses jarak jauh.

Perkembangan tersebut juga mengikuti laporan dari Proofpoint pada November 2022 bahwa kebangkitan aktivitas Emotet telah dikaitkan dengan distribusi versi baru IcedID.

sumber : thehackernews

Google mengatakan mantan anggota ransomware Conti sekarang menyerang Ukraina

September 8, 2022 by Eevee

Google mengatakan beberapa mantan anggota geng kejahatan dunia maya Conti, yang sekarang menjadi bagian dari kelompok ancaman yang dilacak sebagai UAC-0098, menargetkan organisasi Ukraina dan organisasi non-pemerintah (LSM) Eropa.

UAC-0098 adalah broker akses awal yang dikenal menggunakan trojan perbankan IcedID untuk memberikan akses kepada grup ransomware ke sistem yang disusupi dalam jaringan perusahaan.

Grup Analisis Ancaman (TAG), tim khusus pakar keamanan yang bertindak sebagai kekuatan pertahanan bagi pengguna Google dari serangan yang disponsori negara, mulai melacak grup ancaman ini pada bulan April setelah mendeteksi kampanye phishing yang mendorong pintu belakang AnchorMail yang terkait dengan Conti.

Serangan kelompok ini diamati antara pertengahan April hingga pertengahan Juni, dengan seringnya perubahan taktik, teknik, dan prosedur (TTP), perkakas, dan umpan, sementara menargetkan organisasi Ukraina (seperti jaringan hotel) dan menyamar sebagai Polisi Siber Nasional dari Ukraina atau perwakilan dari Elon Musk dan StarLink.

Dalam kampanye berikutnya, UAC-0098 terlihat mengirimkan muatan berbahaya IcedID dan Cobalt Strike dalam serangan phishing yang menargetkan organisasi Ukraina dan LSM Eropa.

Situs berbagi file yang mengirimkan muatan berbahaya UAC-0098 (Google TAG)

Tautan ke grup kejahatan dunia maya Conti
Google TAG mengatakan atribusinya didasarkan pada beberapa tumpang tindih antara UAC-0098, Trickbot, dan grup kejahatan dunia maya Conti.

“TAG menilai UAC-0098 bertindak sebagai perantara akses awal untuk berbagai kelompok ransomware termasuk Quantum dan Conti, geng kejahatan dunia maya Rusia yang dikenal sebagai FIN12 / WIZARD SPIDER.

“Aktivitas UAC-0098 adalah contoh representatif dari garis kabur antara kelompok yang bermotivasi finansial dan yang didukung pemerintah di Eropa Timur, yang menggambarkan tren pelaku ancaman yang mengubah penargetan mereka agar selaras dengan kepentingan geopolitik regional.”

Aktivitas kelompok ancaman yang terdeteksi dan diungkapkan hari ini oleh Google juga sejalan dengan laporan sebelumnya dari IBM Security X-Force dan CERT-UA, yang juga mengaitkan serangan terhadap organisasi Ukraina dan entitas pemerintah dengan geng kejahatan dunia maya TrickBot dan Conti.

Beberapa geng ransomware yang disusupi oleh anggota Conti termasuk BlackCat, Hive, AvosLocker, Hello Kitty, dan operasi Quantum yang baru-baru ini dihidupkan kembali.

Anggota Conti lainnya sekarang menjalankan operasi pemerasan data mereka sendiri yang tidak mengenkripsi data, seperti BlackByte, Karakurt, dan kolektif Bazarcall.

Selengkapnya : Bleeping Computer

Quantum ransomware terlihat digunakan dalam serangan jaringan yang cepat

April 26, 2022 by Eevee

Ransomware Quantum, jenis yang pertama kali ditemukan pada Agustus 2021, terlihat melakukan serangan cepat yang meningkat dengan cepat, meninggalkan sedikit waktu bagi para pembela untuk bereaksi.

Pelaku ancaman menggunakan malware IcedID sebagai salah satu vektor akses awal mereka, yang menyebarkan Cobalt Strike untuk akses jarak jauh dan mengarah ke pencurian data dan enkripsi menggunakan Quantum Locker.

Rincian teknis serangan ransomware Quantum dianalisis oleh peneliti keamanan di The DFIR Report, yang mengatakan serangan itu hanya berlangsung 3 jam 44 menit dari infeksi awal hingga penyelesaian perangkat enkripsi.

Serangan yang dilihat oleh The DFIR Report menggunakan malware IcedID sebagai akses awal ke mesin target, yang mereka yakini datang melalui email phishing yang berisi lampiran file ISO.

IcedID adalah trojan perbankan modular yang digunakan selama lima tahun terakhir, terutama untuk penyebaran payload tahap kedua, loader, dan ransomware.

Kombinasi arsip IcedID dan ISO telah digunakan dalam serangan lain baru-baru ini, karena file ini sangat baik untuk melewati kontrol keamanan email.

Dua jam setelah infeksi awal, pelaku ancaman menyuntikkan Cobalt Strike ke dalam proses C:\Windows\SysWOW64\cmd.exe untuk menghindari deteksi.

Langkah pertama dari rantai infeksi (DFIR)

Pada fase ini, penyusup mencuri kredensial domain Windows dengan membuang memori LSASS, yang memungkinkan mereka menyebar secara lateral melalui jaringan.

Akhirnya, pelaku ancaman menggunakan WMI dan PsExec untuk menyebarkan muatan ransomware Quantum dan mengenkripsi perangkat.

Serangan ini hanya memakan waktu empat jam, yang cukup cepat, dan karena serangan ini biasanya terjadi larut malam atau selama akhir pekan, serangan ini tidak memberikan jendela besar bagi admin jaringan dan keamanan untuk mendeteksi dan merespons serangan tersebut.

Untuk detail lebih lanjut tentang TTP yang digunakan oleh Quantum Locker, Laporan DFIR telah menyediakan daftar lengkap indikator kompromi serta alamat C2 yang terhubung dengan IcedID dan Cobalt Strike untuk komunikasi.

Ransomware Quantum Locker adalah rebrand dari operasi ransomware MountLocker, yang diluncurkan pada September 2020.

Sejak itu, geng ransomware telah mengubah nama operasinya menjadi berbagai nama, termasuk AstroLocker, XingLocker, dan sekarang dalam fase saat ini, Quantum Locker.

Perubahan nama menjadi Quantum terjadi pada Agustus 2021, ketika enkripsi ransomware mulai menambahkan ekstensi file .quantum ke nama file terenkripsi dan menjatuhkan catatan tebusan bernama README_TO_DECRYPT.html.

Catatan ini mencakup tautan ke situs negosiasi tebusan Tor dan ID unik yang terkait dengan korban. Catatan tebusan juga menyatakan bahwa data dicuri selama serangan, yang mengancam akan dipublikasikan oleh penyerang jika uang tebusan tidak dibayarkan.

Catatan tebusan Quantum Locker
Sumber: BleepingComputer

Sementara The DFIR Report menyatakan bahwa mereka tidak melihat aktivitas eksfiltrasi data dalam serangan yang mereka analisis, BleepingComputer telah mengkonfirmasi di masa lalu bahwa mereka mencuri data selama serangan dan membocorkannya dalam skema pemerasan ganda.

Tuntutan tebusan untuk geng ini bervariasi tergantung pada korban, dengan beberapa serangan menuntut $ 150.000 untuk menerima decryptor, sementara yang lain dilihat oleh BleepingComputer adalah tuntutan multi-juta dolar, seperti yang ditunjukkan di bawah ini.

Meskipun mereka mungkin tidak seaktif operasi ransomware lainnya, seperti Conti, LockBit, dan AVOS, mereka masih merupakan risiko yang signifikan dan penting bagi pembela jaringan untuk menyadari TTP yang terkait dengan serangan mereka.

Sumber : Bleeping Computer

Malware QBot kembali menggantikan IcedID di kampanye malspam

April 14, 2021 by Winnie the Pooh

Distributor malware memutar muatan sekali lagi, beralih di antara trojan yang sering kali merupakan tahap perantara dalam rantai infeksi yang lebih panjang.

Awal tahun ini, para peneliti mengamati kampanye email berbahaya yang menyebarkan dokumen Office yang mengirimkan trojan QBot, hanya untuk mengubah muatan setelah beberapa saat.

Pada bulan Februari, IcedID adalah malware baru yang berasal dari URL yang digunakan untuk melayani QBot. Brad Duncan dari Palo Alto Networks menangkap perubahan dan catatan dalam analisisnya pada saat itu:

“URL HTTPS yang dibuat oleh makro Excel diakhiri dengan /ds/2202.gif yang biasanya mengirimkan Qakbot, tetapi hari ini mengirimkan IcedID” – Brad Duncan

Peneliti ancaman James Quinn dari Binary Defense membuat pengamatan yang sama dalam posting blog pada bulan Maret, ketika perusahaan menemukan varian IcedID/BokBot baru saat melacak kampanye spam berbahaya dari distributor QakBot.

Peneliti malware dan reverse engineer reecDeep melihat pergantian tersebut pada hari Senin, mengatakan bahwa kampanye tersebut bergantung pada makro XLM yang diperbarui.

Seperti yang terlihat pada tangkapan layar di atas, file Office yang berbahaya berperan sebagai dokumen DocuSign untuk mengelabui pengguna agar mengaktifkan dukungan makro yang mengambil muatan pada sistem.

Menurut Intel 471, beberapa kelompok penjahat dunia maya mulai menggunakan layanan EtterSilent, termasuk IcedID, QakBot, Ursnif, dan Trickbot.

Selengkapnya: Bleeping Computer

Penjahat menyebarkan malware menggunakan formulir kontak situs web dengan URL Google

April 13, 2021 by Winnie the Pooh

Microsoft memperingatkan bisnis untuk berhati-hati terhadap penjahat dunia maya yang menggunakan formulir kontak situs web perusahaan untuk mengirimkan trojan perbankan pencuri info IcedID dalam email dengan URL Google kepada karyawan.

Formulir ‘hubungi kami’ situs web perusahaan adalah pintu terbuka di internet dan penjahat baru-baru ini mulai menggunakannya untuk menjangkau pekerja yang menerima permintaan kontak dari publik.

Fitur penting dari serangan tersebut adalah bahwa penjahat menggunakan formulir kontak untuk mengirim URL Google yang sah kepada karyawan yang mengharuskan pengguna untuk masuk dengan nama pengguna dan sandi Google mereka.

Microsoft menganggap ancaman tersebut cukup serius dan melaporkan serangan tersebut ke tim keamanan Google untuk memperingatkan mereka bahwa penjahat dunia maya menggunakan URL Google yang sah untuk mengirimkan malware.

URL Google berguna bagi penyerang karena mereka akan melewati filter keamanan email. Para penyerang tampaknya juga telah melewati tantangan CAPTCHA yang digunakan untuk menguji apakah pengiriman kontak tersebut dari manusia.

Ini adalah serangan yang rumit untuk dideteksi oleh perusahaan dan lembaga pemerintah karena email masuk ke karyawan dari formulir kontak dan sistem pemasaran email mereka sendiri.

Selengkapnya: ZDNet

Dokumen Word TA551 (Shathak) mendorong IcedID (Bokbot) terinstal pada perangkat korban

October 19, 2020 by Winnie the Pooh

Seorang peneliti dari malware-traffic-analysis.net, Brad Duncan, telah memposting mengenai detail bagaimana TA551 (Shathak) menggunakan dokumen word untuk mengintal IcedID (Bokbot) pada mesin korban.

Pada postingan tersebut, Duncan menjelaskan bahwa kampanye TA551 (Shathak) masih terus menggunakan malware IcedID (Bokbot) sejak ia menulis laporan mengenai kampanye ini pada Agustus 2020. Kampanye ini, yang tidak hanya menargetkan korban yang tidak berbahasa Inggris, sekarang mengganti template email mereka untuk menghindari deteksi.

TA551 menggunakan malspam untuk mengirim malware IcedID pada tahap awal. Malspam dari TA551 menggunakan rantai email sah yang dicuri dari klien email pada host Windows yang sebelumnya terinfeksi, Email ini mencoba untuk menipu pengirim dengan menggunakan nama dari rantai email sebagai alias untuk alamat pengiriman.

Selanjutnya, korban yang tidak berhati-hati akan menggunakan password yang ada pada email untuk mengekstrak dokumen zip yang terlampir. Infeksinya dimulai ketika korban mengaktifkan makro pada host Windows yang rentan dan mengabaikan peringatan keamanan apa pun.

Mengaktifkan makro menyebabkan host Windows yang rentan mengambil file DLL Windows dari URL yang diakhiri dengan .cab. DLL ini disimpan pada host dan dijalankan menggunakan regsvr32.exe. DLL ini adalah penginstal untuk IcedID.

Setelah DLL dijalankan menggunakan regsvr32.exe, host Windows korban mengambil gambar PNG melalui lalu lintas HTTPS. PNG awal ini disimpan ke direktori AppData\Local\Temp korban dengan ekstensi file .tmp. Gambar PNG memiliki data yang dikodekan yang digunakan penginstal DLL untuk membuat EXE untuk IcedID. EXE ini juga disimpan ke direktori yang sama.

Selama proses infeksi, EXE pertama untuk IcedID menghasilkan lebih banyak lalu lintas HTTPS, dan Duncan menemukan gambar PNG lain yang disimpan di suatu tempat di bawah direktori AppData\Local atau AppData\Roaming korban. PNG kedua ini juga berisi data yang dikodekan.

Pada akhirnya, Duncan melihat EXE lain untuk IcedID yang disimpan ke direktori baru dan dibuat persisten melalui tugas terjadwal. EXE persisten ini berukuran sama dengan EXE pertama, tetapi memiliki hash file yang berbeda.

Untuk IoC serta detail gambar dapat dilihat pada tautan berikut ini;
Source: SANS ISC InfoSec Forums

Trojan IcedID Diperbarui dengan Dengan Taktik Baru Untuk Menghindari Deteksi Software Keamanan

August 19, 2020 by Winnie the Pooh

Aktor siber telah meningkatkan trojan perbankan yang telah banyak digunakan selama pandemi COVID-19 dengan fitur baru untuk membantunya menghindari deteksi dari perlindungan keamanan standar.

Menurut laporan baru oleh peneliti keamanan Juniper Networks, Paul Kimayong, penyerang telah menerapkan beberapa fitur baru – termasuk lampiran yang dilindungi katasandi, kebingungan kata kunci, dan kode makro minimalis – dalam kampanye phishing baru-baru ini menggunakan dokumen yang di-trojankan oleh trojan perbankan IcedID yang banyak digunakan.

Kampanye ini, yang ditemukan para peneliti pada bulan Juli, juga menggunakan dynamic link library (DLL) – library Microsoft yang berisi kode dan data yang dapat digunakan oleh lebih dari satu program pada waktu yang bersamaan – sebagai pengunduh tahap kedua. Ini “menunjukkan” tingkat kedewasaan baru dari pelaku ancaman ini.

Versi terbaru IcedID yang diidentifikasi oleh tim Juniper sedang didistribusikan menggunakan akun bisnis yang disusupi dengan si penerimanya adalah pelanggan dari bisnis yang sama. Ini meningkatkan kemungkinan keberhasilan kampanye, karena pengirim dan penerima sudah memiliki hubungan bisnis yang mapan, kata Kimayong.

Berita selengkpanya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

IcedID

Cookies Settings