.



Onderzoek Proofpoint: TA571 levert IcedID Forked Loader

proofpoint

Onderzoekers van Proofpoint ontdekten dat TA571 de Forked-variant van IcedID levert in twee campagnes. Dit vond plaats op 11 en 18 oktober 2023. Beide campagnes bevatten meer dan 6.000 berichten die allemaal een impact hadden op meer dan 1.200 klanten in verschillende sectoren verspreid over heel de wereld.

E-mails in de campagnes deden zich voor als antwoorden op bestaande mailuitwisselingen, ook wel bekend als ‘thread hijacking’. De e-mails bevatten 404 TDS URL’s die linken naar het downloaden van een met een wachtwoord beveiligd zip-archief. Het wachtwoord stond in de bijbehorende e-mail. Voordat het zip-archief werd afgeleverd, voerde de aanvalsketen een reeks controles uit om de ontvanger te valideren. Verder bevatte het zip-bestand een VBS-script en een goedaardig tekstbestand. Maar, zodra de ontvanger dubbelklikte op het VBS-script, werd een geïntegreerde IcedID Forked Loader met regsvr32 uitgevoerd. De loader downloadde op zijn beurt de IcedID bot.

Het gebruik van de Forked IcedID werd in slechts een klein aantal campagnes waargenomen en is daardoor ongebruikelijk. Proofpoint identificeerde deze variant voor het eerst in februari 2023. Een belangrijk verschil tussen de oorspronkelijke IcedID-variant en de Forked-variant is de verwijdering van de bankfunctionaliteit. Onderzoekers zagen dat actoren gewijzigde varianten gebruikten om de malware af te leiden van de typische banking trojan en bankfraude om zich te richten op het afleveren van payloads, waaronder waarschijnlijk het afleveren van ransomware.

TA571 en 404 TDS

TA571 gebruikt 404 TDS regelmatig in campagnes om malware af te leveren, waaronder AsyncRAT, NetSupport en DarkGate. Onderzoekers van Proofpoint volgen 404 TDS al sinds ten minste september 2022 en het wordt door een aantal dreigingsactoren gebruikt. Een Traffic Distribution System (TDS) is een toepassing die wordt gebruikt om webverkeer te routen via servers die door de operator worden beheerd. Ze kunnen worden gebruikt door dreigingsactoren om gebruikers verkeerd om te leiden naar malwaredownloads. IP-filtering wordt gebruikt om te bepalen of een payload moet worden afgeleverd of moet worden omgeleid naar een website voor het verzamelen van referenties. Proofpoint schat in dat 404 TDS waarschijnlijk wordt gedeeld of wordt verkocht aan andere actoren vanwege de betrokkenheid bij verschillende ongerelateerde phishing- of malwarecampagnes.

Toekenning

TA571 is een spamverspreider en deze actor verstuurt e-mailcampagnes met grote hoeveelheden spam voor het afleveren van een verscheidenheid aan malware en dit te installeren voor hun cybercriminele klanten, afhankelijk van de doelstellingen van de volgende exploitant. Proofpoint schat, met een hoge mate van betrouwbaarheid, in dat TA571-infecties tot ransomware kunnen leiden.

De levering van de Forked IcedID-variant door TA571 is uniek, omdat Proofpoint deze niet vaak waarneemt in de dreigingsgegevens. Bovendien beschouwt Proofpoint TA571 als een verfijnde cybercriminele dreiging. De aanvalsketen omvat unieke filtering met behulp van tussenliggende ‘poorten’ waar verkeer doorheen kan in de vorm van URL’s. Deze tussenliggende URL’s filteren verkeer op basis van IP en geo-fencing. TA571 kan wel twee poorten per campagne hebben, zodat alleen specifiek gerichte gebruikers de malware ontvangen, maar ook voor het omzeilen van geautomatiseerde sandboxing of activiteiten van onderzoekers.

Lees ook
Black Friday: een gewaarschuwd mens telt voor twee

Black Friday: een gewaarschuwd mens telt voor twee

De Black Friday shopgekte is weer van start. Dit is voor veel mensen de aftrap van het winkelseizoen voor de feestdagen. Consumentenorganisaties waarschuwen voor webshops, zoals Temu, in verband met mogelijke privacy schendingen.

Cybercriminelen gebruiken foto’s van huizen om ‘sextortion’ e-mails te personaliseren

Cybercriminelen gebruiken foto’s van huizen om ‘sextortion’ e-mails te personaliseren

Uit een recent onderzoek van Barracuda blijkt dat cyberaanvallers namen, adressen en foto’s van de huizen van slachtoffers gebruiken om ‘sextortion’-aanvallen persoonlijker te maken. Zo proberen deze aanvallers de druk op hun slachtoffers op te voeren. Onderzoekers zagen ook dat de afpersingseisen inmiddels variëren

ESET sluit zich aan bij Melissa - samenwerkingsverband voor ransomwarebestrijding

ESET sluit zich aan bij Melissa - samenwerkingsverband voor ransomwarebestrijding

ESET Nederland, kondigt tijdens de  ONE Conference 2024 aan dat het zich heeft aangesloten bij het ransomwarebestrijding samenwerkingsverband van het Openbaar Ministerie (OM), de politie, het Nationaal Cyber Security Centrum (NCSC), Cyberveilig Nederland en diverse andere private partijen. Het ransomwarebestrijding samenwerkingsverband, genaamd ‘M1