Os atores de ameaças ligados ao carregador de malware conhecido como IcedID fizeram atualizações no módulo BackConnect (BC) que é usado para atividade pós-comprometimento em sistemas hackeados, novas descobertas da Team Cymru revelam.
IcedID, também chamado de BokBot, é uma cepa de malware semelhante a Emotet e QakBot que começou como um trojan bancário em 2017, antes de mudar para o papel de facilitador de acesso inicial para outros payloads.
As versões recentes do malware foram observadas removendo a funcionalidade relacionada à fraude bancária online para priorizar a entrega de ransomware.
O módulo BackConnect (BC), documentado pela primeira vez pela Netresec em outubro de 2022, depende de um protocolo de comando e controle (C2) proprietário para trocar comandos entre um servidor e o host infectado.
O protocolo, que vem com um componente VNC para acesso remoto, também foi identificado em outros malwares como o agora descontinuado BazarLoader e QakBot.
Em dezembro de 2022, a Team Cymru relatou a descoberta de 11 BC C2s ativos desde 1 de julho de 2022, notando que os operadores provavelmente localizados na Moldávia e na Ucrânia estão supervisionando elementos distintos do protocolo BC.
"Nos últimos meses, o tráfego BackConnect causado pelo IcedID era fácil de detectar porque ocorreu na porta TCP 8080", disse a Palo Alto Networks Unit 42 no final de maio de 2023.
"No entanto, já em 11 de abril de 2023, a atividade BackConnect para IcedID mudou para a porta TCP 443, tornando-a mais difícil de encontrar."
A análise mais recente da infraestrutura de ataque da Team Cymru revelou que o número de BC C2s aumentou de 11 para 34 desde 23 de janeiro de 2023, com o tempo médio de atividade de um servidor reduzindo significativamente de 28 dias para oito dias.
"A partir de 11 de abril de 2023, um total de 20 servidores BC C2 de alta confiança foram identificados, com base em pivôs da infraestrutura de gerenciamento", disse a empresa de segurança cibernética em um relatório compartilhado com The Hacker News.
"Observa-se que o número de servidores C2 operando simultaneamente aumentou [...], chegando a quatro servidores C2 recebendo comunicações de gerenciamento em um dia específico."
Um exame mais detalhado do tráfego originário dos servidores BC C2 descobriu até oito possíveis vítimas entre o final de abril de 2023 e junho de 2023 que "comunicaram com três ou mais BC C2s ao mesmo tempo."
Também se suspeita que o mesmo operador ou afiliado do IcedID esteja acessando várias vítimas no mesmo período, baseado no volume de tráfego observado entre as vítimas e os servidores.
"Parece que o BC é implantado junto com o carregador IcedID usual e as infecções de bot", disse Josh Hopkins, chefe da Unidade de Análise de Ameaças S2 da Team Cymru, ao The Hacker News, acrescentando "não vemos nenhuma distinção clara na infraestrutura de como ela é acessada pelas vítimas e atores de ameaças."
A empresa de segurança cibernética também informou a publicação que duas das ramificações do IcedID que surgiram em fevereiro de 2023 sem a fraude bancária e os módulos BackConnect não foram detectadas recentemente, sugerindo que poderiam ter sido experimentos de curta duração.
"Ao examinar a infraestrutura de gerenciamento associada ao IcedID BC, também conseguimos discernir um padrão de múltiplos acessos distintos de usuários que avaliamos estarem associados às operações diárias do IcedID, e seus afiliados que interagem com as vítimas pós-compromisso", disse Team Cymru.
"As evidências em nossos dados NetFlow sugerem que certas vítimas do IcedID são usadas como proxies em operações de spam, ativadas pelas capacidades SOCKS do BC.
Isso é uma possível dupla consequência para as vítimas, pois não só são comprometidas e sofrem perdas de dados / financeiras, mas também são exploradas para o propósito de espalhar mais campanhas do IcedID."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...