IcedID Loader IOCs

security IOC

Компания Proofpoint отслеживает новые варианты IcedID, используемые как минимум тремя субъектами угроз.

IcedID Loader

  • Первоначальный анализ показывает, что это форк версии с потенциально отдельной панелью для управления вредоносным ПО.
  • Хотя большая часть кодовой базы осталась прежней, есть несколько ключевых отличий.
  • Одним из ключевых отличий является удаление банковских функций, таких как веб-инъекции и обратное соединение.
  • Исследователи Proofpoint предполагают, что первоначальные операторы, стоящие за Emotet, используют вариант IcedID с другой функциональностью.

Стандартный вариант IcedID - вариант, наиболее часто встречающийся в среде угроз и используемый различными субъектами угроз.
Lite IcedID Variant - новый вариант, наблюдаемый в качестве дополнительной полезной нагрузки в ноябрьских заражениях Emotet, который не эксфильтрирует данные хоста при проверке загрузчика и представляет собой бота с минимальной функциональностью.
Forked IcedID Variant - новый вариант, наблюдавшийся исследователями Proofpoint в феврале 2023 года и используемый небольшим числом угрожающих субъектов, который также предоставляет бота с минимальной функциональностью.

IcedID - вредоносная программа, изначально классифицированная как банковская и впервые замеченная в 2017 году. Он также выступает в качестве загрузчика для других вредоносных программ, включая ransomware. Как было опубликовано ранее, исторически существует только одна версия IcedID, которая остается неизменной с 2017 года. Известная версия IcedID состоит из начального загрузчика, который связывается с сервером Loader C2, загружает стандартную DLL Loader, которая затем доставляет стандартный IcedID Bot.

В ноябре 2022 года исследователи Proofpoint заметили первый новый вариант IcedID Proofpoint окрестил "IcedID Lite", распространяемый в качестве последующей полезной нагрузки в кампании TA542 Emotet. Он был сброшен вредоносной программой Emotet вскоре после того, как актер вернулся на арену электронной преступности после почти четырехмесячного перерыва.

IcedID Lite Loader, замеченный в ноябре 2022 года, содержит статический URL-адрес для загрузки файла "Bot Pack" со статическим именем (botpack.dat), который приводит к созданию IcedID Lite DLL Loader, а затем поставляет форкнутую версию IcedID Bot, лишенную функций webinjects и backconnect, которые обычно используются для банковского мошенничества.

Начиная с февраля 2023 года, Proofpoint наблюдала новый форкнутый вариант IcedID. На сегодняшний день компания Proofpoint обнаружила семь кампаний, использующих форкнутый вариант IcedID. Этот вариант распространялся TA581 и одним неатрибутированным кластером угроз, которые выступали в качестве организаторов первоначального доступа. В кампаниях использовались различные вложения электронной почты, такие как вложения Microsoft OneNote и довольно редко встречающиеся вложения .URL, что и привело к появлению Forked-варианта IcedID.

IcedID Forked Loader, впервые замеченный в феврале 2023 года, более похож на стандартный IcedID Loader тем, что он обращается к серверу Loader C2 для получения DLL-загрузчика и бота. Этот DLL-загрузчик имеет схожие артефакты с Lite Loader, а также загружает бота Forked IcedID.

Indicators of Compromise

Domains

  • ehonlionetodo.com
  • guidassembler.com
  • noosaerty.com
  • palasedelareforma.com
  • renomesolar.com
  • samoloangu.com
  • sanoradesert.com
  • steepenmount.com

URLs

  • http://104.156.149.6/webdav/c2.dll
  • http://94.131.11.141/webdav/fda.dll
  • http://94.131.11.141/webdav/Labels_FDA_toCheck.bat
  • http://helthbrotthersg.com/view.png
  • http://lepriconloots.com/botpackn1.dat
  • http://segurda.top/dll/loader_p1_dll_64_n1_x64_inf.dll53.dll
  • http://segurda.top/gatef.php

SHA256

  • 03fdf03c8f0a0768940c793496346253b7ccfb7f92028d3281b6fc75c4f1558e
  • 7c8b3b8cf2b721568b96f58e5994b8ddb8990cd05001be08631ade7902ae6262
  • 9bf40256fb7f0acac020995a3e9a231d54a6b14bb421736734b5815de0d3ba53
  • befeb1ab986fae9a54d4761d072bf50fdbff5c6b1b89b66a6790a3f0bfc4243f
  • dc51b5dff617f4da2457303140ff1225afc096e128e7d89454c3fa9a6883585c
  • fbad60002286599ca06d0ecb3624740efbf13ee5fda545341b3e0bf4d5348cfe
SEC-1275-1
Добавить комментарий