TA551-Hacker verbreiten IcedID-Trojaner in einer neuen Welle von Malspam-Kampagnen
Inhaltsverzeichnis:
Ab Juli 2020 beobachten Sicherheitsexperten bemerkenswerte Änderungen, die in der TA551 (auch bekannt als Shathak) Malspam-Routine implementiert wurden. Die Bedrohungsakteure hinter der TA551-Kampagne haben von der Verteilung von Ursnif und Valak auf IcedID Banking-Trojaner-Infektionen umgeschaltet.
TA551 Überblick
TA551 ist eine lang anhaltende Malspam-Kampagne, die im Februar 2019 auftauchte. Anfangs konzentrierte sie sich darauf, den Ursnif (Gozi/Gozi-ISFB) Banking-Trojaner an englischsprachige Opfer zu liefern. Allerdings beobachteten Forscher bis Ende 2019, dass Valak und IcedID regelmäßig als Zweitstufen-Malware abgerufen wurden. Das Publikum erweiterte sich im Jahr 2019, indem deutsche, italienische und japanische Opfer ins Visier genommen wurden. Im Jahr 2020 ließ TA551 Ursnif für den Valak-Loader fallen. TA551 bewarb exklusiv Valak bis Juli 2020, wobei auch gelegentlich ZLoader (Terdot, DELoader) Malware gedroppt wurde. Schließlich wechselte TA551 im Q2 2020 zur Verbreitung des IcedID Banking-Trojaners.
Die bösartige Routine von TA551 verlässt sich auf gefälschte E-Mail-Ketten als Köder. Diese E-Mail-Ketten werden von zuvor kompromittierten Windows-Hosts abgerufen und dann an die ursprünglichen Empfänger gesendet. Die Malspam-E-Mails zeigen einen überzeugenden Text, der das Opfer auffordert, ein angehängtes passwortgeschütztes ZIP-Archiv zu extrahieren. Falls ein Opfer getäuscht wird, erscheint im Archiv eine mit Makros versehene Word-Datei. Sobald die Makros aktiviert sind, wird der DLL-Installer auf den kompromittierten PC geladen, der wiederum die endgültige bösartige Nutzlast herunterlädt.
Wechsel von Valak zu IcedID
Ab Mitte Juli 2020 haben Sicherheitsexperten festgestellt dass die TA551 Malspam-Kampagne exklusiv den IcedID Banking-Trojaner verteilt. Die erste Infektionswelle zielte nur auf englischsprachige Benutzer ab. Dann wechselten am 27. Oktober 2020 die TA551-Operatoren zu Word-Dokumentvorlagen in japanischer Sprache und nahmen drei Wochen lang kontinuierlich japanische Benutzer ins Visier. Im November 2020 konzentrierte sich der Malspam erneut auf das englischsprachige Publikum. Bemerkenswert ist, dass die IcedID Malware häufig als Folge-Nutzlast von Ursnif und Valak geliefert wurde. Und erst im Q2 2020 beschlossen die TA551-Hacker, sich auf IcedID als Erststufen-Nutzlast zu konzentrieren.
Was ist IcedID Malware?
IcedID (auch bekannt als BokBot) ist ein modularer Banking-Trojaner entwickelt um Bankdaten und Anmeldeinformationen von angezielten Maschinen zu stehlen. Erst 2017 entdeckt, war IcedID hauptsächlich fokussiert auf US-Bankenanbieter und Telekommunikationsanbieter. Anfangs wurde der Trojaner durch Emotet verbreitet, dennoch wurden im Laufe der Zeit neue Verteilungsmuster entwickelt. Die Hauptinfektionsmethode bleibt dieselbe, ein Malspam, der Word-Dateien mit Makros enthält.
Der IcedID-Informationsdieb verfügt über eine breite Palette bösartiger Fähigkeiten, begleitet von ausgefeilten Tarnfunktionen. Der Trojaner verbirgt seine Konfiguration mit Hilfe der Steganographie-Technik und verwendet gleichzeitig Anti-VM und Anti-Debugging-Funktionen. Nach der Infektion und Erlangung der Persistenz breitet sich die Malware durch das kompromittierte Netzwerk aus, überwacht alle Aktivitäten auf dem PC und führt Man-in-the-Browser-Angriffe durch. Solche Angriffe folgen drei Phasen, einschließlich Web-Injektion, Proxy-Setup und Umleitung. Dieser Ansatz ermöglicht es IcedID, Opfer durch Social Engineering zu täuschen, ihre Bankdaten zu stehlen und die Multi-Faktor-Authentifizierung zu umgehen, während es Zugriff auf Bankkonten erhält.
TA551 Erkennung
Um Ihre proaktiven Verteidigungsfähigkeiten gegen die TA551-Malspam-Kampagne zu verbessern, laden Sie eine kostenlose Sigma-Regel herunter, die von Joseph Kamau auf dem Threat Detection Marketplace veröffentlicht wurde:
https://tdm.socprime.com/tdm/info/Ae4eIgnZWl77/zpiHFXcBR-lx4sDxDOul/
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR: Microsoft Defender ATP, Carbon Black
MITRE ATT&CK:
Taktiken: Ausführung, Verteidigungsevasion
Techniken: Ausführung signierter Binärproxies (T1218)
Holen Sie sich ein kostenloses Abonnement für den Threat Detection Marketplace und greifen Sie auf mehr kuratierten SOC-Inhalt zu kompatibel mit der Mehrheit der SIEM, EDR, NTDR und SOAR Plattformen. Enthusiastisch, um an den Bedrohungsjagdaktivitäten teilzunehmen? Treten Sie unserem Threat Bounty-Programm bei und teilen Sie Ihre eigenen Sigma-Regeln mit der SOC Prime-Community.
