Компания Proofpoint отслеживает новые варианты IcedID, используемые как минимум тремя субъектами угроз.
IcedID Loader
- Первоначальный анализ показывает, что это форк версии с потенциально отдельной панелью для управления вредоносным ПО.
- Хотя большая часть кодовой базы осталась прежней, есть несколько ключевых отличий.
- Одним из ключевых отличий является удаление банковских функций, таких как веб-инъекции и обратное соединение.
- Исследователи Proofpoint предполагают, что первоначальные операторы, стоящие за Emotet, используют вариант IcedID с другой функциональностью.
Стандартный вариант IcedID - вариант, наиболее часто встречающийся в среде угроз и используемый различными субъектами угроз.
Lite IcedID Variant - новый вариант, наблюдаемый в качестве дополнительной полезной нагрузки в ноябрьских заражениях Emotet, который не эксфильтрирует данные хоста при проверке загрузчика и представляет собой бота с минимальной функциональностью.
Forked IcedID Variant - новый вариант, наблюдавшийся исследователями Proofpoint в феврале 2023 года и используемый небольшим числом угрожающих субъектов, который также предоставляет бота с минимальной функциональностью.
IcedID - вредоносная программа, изначально классифицированная как банковская и впервые замеченная в 2017 году. Он также выступает в качестве загрузчика для других вредоносных программ, включая ransomware. Как было опубликовано ранее, исторически существует только одна версия IcedID, которая остается неизменной с 2017 года. Известная версия IcedID состоит из начального загрузчика, который связывается с сервером Loader C2, загружает стандартную DLL Loader, которая затем доставляет стандартный IcedID Bot.
В ноябре 2022 года исследователи Proofpoint заметили первый новый вариант IcedID Proofpoint окрестил "IcedID Lite", распространяемый в качестве последующей полезной нагрузки в кампании TA542 Emotet. Он был сброшен вредоносной программой Emotet вскоре после того, как актер вернулся на арену электронной преступности после почти четырехмесячного перерыва.
IcedID Lite Loader, замеченный в ноябре 2022 года, содержит статический URL-адрес для загрузки файла "Bot Pack" со статическим именем (botpack.dat), который приводит к созданию IcedID Lite DLL Loader, а затем поставляет форкнутую версию IcedID Bot, лишенную функций webinjects и backconnect, которые обычно используются для банковского мошенничества.
Начиная с февраля 2023 года, Proofpoint наблюдала новый форкнутый вариант IcedID. На сегодняшний день компания Proofpoint обнаружила семь кампаний, использующих форкнутый вариант IcedID. Этот вариант распространялся TA581 и одним неатрибутированным кластером угроз, которые выступали в качестве организаторов первоначального доступа. В кампаниях использовались различные вложения электронной почты, такие как вложения Microsoft OneNote и довольно редко встречающиеся вложения .URL, что и привело к появлению Forked-варианта IcedID.
IcedID Forked Loader, впервые замеченный в феврале 2023 года, более похож на стандартный IcedID Loader тем, что он обращается к серверу Loader C2 для получения DLL-загрузчика и бота. Этот DLL-загрузчик имеет схожие артефакты с Lite Loader, а также загружает бота Forked IcedID.
Indicators of Compromise
Domains
- ehonlionetodo.com
- guidassembler.com
- noosaerty.com
- palasedelareforma.com
- renomesolar.com
- samoloangu.com
- sanoradesert.com
- steepenmount.com
URLs
- http://104.156.149.6/webdav/c2.dll
- http://94.131.11.141/webdav/fda.dll
- http://94.131.11.141/webdav/Labels_FDA_toCheck.bat
- http://helthbrotthersg.com/view.png
- http://lepriconloots.com/botpackn1.dat
- http://segurda.top/dll/loader_p1_dll_64_n1_x64_inf.dll53.dll
- http://segurda.top/gatef.php
SHA256
- 03fdf03c8f0a0768940c793496346253b7ccfb7f92028d3281b6fc75c4f1558e
- 7c8b3b8cf2b721568b96f58e5994b8ddb8990cd05001be08631ade7902ae6262
- 9bf40256fb7f0acac020995a3e9a231d54a6b14bb421736734b5815de0d3ba53
- befeb1ab986fae9a54d4761d072bf50fdbff5c6b1b89b66a6790a3f0bfc4243f
- dc51b5dff617f4da2457303140ff1225afc096e128e7d89454c3fa9a6883585c
- fbad60002286599ca06d0ecb3624740efbf13ee5fda545341b3e0bf4d5348cfe