.



Onderzoek Proofpoint: TA571 levert IcedID Forked Loader

proofpoint

Onderzoekers van Proofpoint ontdekten dat TA571 de Forked-variant van IcedID levert in twee campagnes. Dit vond plaats op 11 en 18 oktober 2023. Beide campagnes bevatten meer dan 6.000 berichten die allemaal een impact hadden op meer dan 1.200 klanten in verschillende sectoren verspreid over heel de wereld.

E-mails in de campagnes deden zich voor als antwoorden op bestaande mailuitwisselingen, ook wel bekend als ‘thread hijacking’. De e-mails bevatten 404 TDS URL’s die linken naar het downloaden van een met een wachtwoord beveiligd zip-archief. Het wachtwoord stond in de bijbehorende e-mail. Voordat het zip-archief werd afgeleverd, voerde de aanvalsketen een reeks controles uit om de ontvanger te valideren. Verder bevatte het zip-bestand een VBS-script en een goedaardig tekstbestand. Maar, zodra de ontvanger dubbelklikte op het VBS-script, werd een geïntegreerde IcedID Forked Loader met regsvr32 uitgevoerd. De loader downloadde op zijn beurt de IcedID bot.

Het gebruik van de Forked IcedID werd in slechts een klein aantal campagnes waargenomen en is daardoor ongebruikelijk. Proofpoint identificeerde deze variant voor het eerst in februari 2023. Een belangrijk verschil tussen de oorspronkelijke IcedID-variant en de Forked-variant is de verwijdering van de bankfunctionaliteit. Onderzoekers zagen dat actoren gewijzigde varianten gebruikten om de malware af te leiden van de typische banking trojan en bankfraude om zich te richten op het afleveren van payloads, waaronder waarschijnlijk het afleveren van ransomware.

TA571 en 404 TDS

TA571 gebruikt 404 TDS regelmatig in campagnes om malware af te leveren, waaronder AsyncRAT, NetSupport en DarkGate. Onderzoekers van Proofpoint volgen 404 TDS al sinds ten minste september 2022 en het wordt door een aantal dreigingsactoren gebruikt. Een Traffic Distribution System (TDS) is een toepassing die wordt gebruikt om webverkeer te routen via servers die door de operator worden beheerd. Ze kunnen worden gebruikt door dreigingsactoren om gebruikers verkeerd om te leiden naar malwaredownloads. IP-filtering wordt gebruikt om te bepalen of een payload moet worden afgeleverd of moet worden omgeleid naar een website voor het verzamelen van referenties. Proofpoint schat in dat 404 TDS waarschijnlijk wordt gedeeld of wordt verkocht aan andere actoren vanwege de betrokkenheid bij verschillende ongerelateerde phishing- of malwarecampagnes.

Toekenning

TA571 is een spamverspreider en deze actor verstuurt e-mailcampagnes met grote hoeveelheden spam voor het afleveren van een verscheidenheid aan malware en dit te installeren voor hun cybercriminele klanten, afhankelijk van de doelstellingen van de volgende exploitant. Proofpoint schat, met een hoge mate van betrouwbaarheid, in dat TA571-infecties tot ransomware kunnen leiden.

De levering van de Forked IcedID-variant door TA571 is uniek, omdat Proofpoint deze niet vaak waarneemt in de dreigingsgegevens. Bovendien beschouwt Proofpoint TA571 als een verfijnde cybercriminele dreiging. De aanvalsketen omvat unieke filtering met behulp van tussenliggende ‘poorten’ waar verkeer doorheen kan in de vorm van URL’s. Deze tussenliggende URL’s filteren verkeer op basis van IP en geo-fencing. TA571 kan wel twee poorten per campagne hebben, zodat alleen specifiek gerichte gebruikers de malware ontvangen, maar ook voor het omzeilen van geautomatiseerde sandboxing of activiteiten van onderzoekers.

Lees ook
Belgische leger presenteert cybersecurityprogramma

Belgische leger presenteert cybersecurityprogramma

Het Belgische leger moet bij zeer grote cyberaanvallen op bijvoorbeeld het Belgische bedrijfsleven kunnen ingrijpen. Het Belgische ministerie van Defensie heeft een nieuw programma gepresenteerd rond cybersecurity. Dit meldt De Morgen. België wordt regelmatig opgeschrikt door incidenten op het gebied van cybersecurity. Zo bleken de ICT-systemen va1

Hoeveelheid malware voor Android met 30% gestegen

Hoeveelheid malware voor Android met 30% gestegen

De hoeveelheid malware voor het Android-besturingsysteem is afgelopen jaar met 30% gestegen ten opzichte van 2013. In totaal werden in 2014 anderhalf miljoen nieuwe malware exemplaren gevonden voor Android. Dit meldt G Data in het Mobile Malware Report. G Data trof in de eerste helft van 2014 751.136 nieuwe malware exemplaren voor Android aan. In1

Des milliards de dollars dérobés dans le plus grand casse numérique de tous les temps

Des milliards de dollars dérobés dans le plus grand casse numérique de tous les temps

Un groupe cybercriminels a réussi à détourner pas moins d'un milliard de dollars en deux ans au détriment de banques et d'organismes financiers. Kaspersky Lab  parle du plus gros casse numérique de tous les temps. Les attaques auraient été perpétrées par Carbabak, un groupe de hackers actifs à l'échelle mondiale. Ses membres proviendraient notamme1