Onderzoek Proofpoint: TA571 levert IcedID Forked Loader

Onderzoekers van Proofpoint ontdekten dat TA571 de Forked-variant van IcedID levert in twee campagnes. Dit vond plaats op 11 en 18 oktober 2023. Beide campagnes bevatten meer dan 6.000 berichten die allemaal een impact hadden op meer dan 1.200 klanten in verschillende sectoren verspreid over heel de wereld.

E-mails in de campagnes deden zich voor als antwoorden op bestaande mailuitwisselingen, ook wel bekend als ‘thread hijacking’. De e-mails bevatten 404 TDS URL’s die linken naar het downloaden van een met een wachtwoord beveiligd zip-archief. Het wachtwoord stond in de bijbehorende e-mail. Voordat het zip-archief werd afgeleverd, voerde de aanvalsketen een reeks controles uit om de ontvanger te valideren. Verder bevatte het zip-bestand een VBS-script en een goedaardig tekstbestand. Maar, zodra de ontvanger dubbelklikte op het VBS-script, werd een geïntegreerde IcedID Forked Loader met regsvr32 uitgevoerd. De loader downloadde op zijn beurt de IcedID bot.

Het gebruik van de Forked IcedID werd in slechts een klein aantal campagnes waargenomen en is daardoor ongebruikelijk. Proofpoint identificeerde deze variant voor het eerst in februari 2023. Een belangrijk verschil tussen de oorspronkelijke IcedID-variant en de Forked-variant is de verwijdering van de bankfunctionaliteit. Onderzoekers zagen dat actoren gewijzigde varianten gebruikten om de malware af te leiden van de typische banking trojan en bankfraude om zich te richten op het afleveren van payloads, waaronder waarschijnlijk het afleveren van ransomware.

TA571 en 404 TDS

TA571 gebruikt 404 TDS regelmatig in campagnes om malware af te leveren, waaronder AsyncRAT, NetSupport en DarkGate. Onderzoekers van Proofpoint volgen 404 TDS al sinds ten minste september 2022 en het wordt door een aantal dreigingsactoren gebruikt. Een Traffic Distribution System (TDS) is een toepassing die wordt gebruikt om webverkeer te routen via servers die door de operator worden beheerd. Ze kunnen worden gebruikt door dreigingsactoren om gebruikers verkeerd om te leiden naar malwaredownloads. IP-filtering wordt gebruikt om te bepalen of een payload moet worden afgeleverd of moet worden omgeleid naar een website voor het verzamelen van referenties. Proofpoint schat in dat 404 TDS waarschijnlijk wordt gedeeld of wordt verkocht aan andere actoren vanwege de betrokkenheid bij verschillende ongerelateerde phishing- of malwarecampagnes.

Toekenning

TA571 is een spamverspreider en deze actor verstuurt e-mailcampagnes met grote hoeveelheden spam voor het afleveren van een verscheidenheid aan malware en dit te installeren voor hun cybercriminele klanten, afhankelijk van de doelstellingen van de volgende exploitant. Proofpoint schat, met een hoge mate van betrouwbaarheid, in dat TA571-infecties tot ransomware kunnen leiden.

De levering van de Forked IcedID-variant door TA571 is uniek, omdat Proofpoint deze niet vaak waarneemt in de dreigingsgegevens. Bovendien beschouwt Proofpoint TA571 als een verfijnde cybercriminele dreiging. De aanvalsketen omvat unieke filtering met behulp van tussenliggende ‘poorten’ waar verkeer doorheen kan in de vorm van URL’s. Deze tussenliggende URL’s filteren verkeer op basis van IP en geo-fencing. TA571 kan wel twee poorten per campagne hebben, zodat alleen specifiek gerichte gebruikers de malware ontvangen, maar ook voor het omzeilen van geautomatiseerde sandboxing of activiteiten van onderzoekers.