С Exchange-серверов рассылают трояна IceID в ответ на украденные письма

Татьяна Никитина 29 Марта 2022 - 08:52

Малый и средний бизнес

...

Исследователи из Intezer выявили новую вредоносную кампанию, использующую перехват переписки. Хакеры воруют входящую почту на уязвимых серверах Microsoft Exchange и рассылают корреспондентам поддельные ответы с вложенным файлом — зловредом IceID.

Большинство выявленных серверов отправителя плохо пропатчены и доступны из интернета, поэтому израильские эксперты предположили, что злоумышленники используют ProxyShell. Фальшивки распространяются с взломанных аккаунтов, что придает им еще больше убедительности. Среди получателей числятся представители таких сфер, как энергетика, здравоохранение, фармацевтика и право.

Вредонос IceID, он же BokBot, известен ИБ-сообществу с 2017 года. Он дебютировал как банковский троян, однако, подобно TrickBot, впоследствии стал применяться в основном как загрузчик. Эту функциональность зловреда также зачастую используют торговцы доступом к чужим сетям, которые умышленно рассылают его в спаме на адреса целевых организаций.

Летом прошлого года IceID массово распространялся с помощью форм обратной связи на сайтах. Теперь злоумышленники используют с этой целью Microsoft Exchange. Примечательно, что они отказались от вредоносных вложений в форматах Office и перешли на архивированные ISO-файлы — видимо, для обхода защиты Windows, известной как MOTW (маркировка файлов, полученных из интернета, добавлением атрибута Mark of the Web; при отсутствии маркера пользователю выводится предупреждение).

Вредоносный ISO в данном случае содержит два файла — в форматах .lnk и .dll. Первый используется для запуска dll-модуля IceID (с помощью инструмента командной строки regsvr32). Код, исполняемый в памяти компьютера, устанавливает соединение с C2 и ждет команд оператора. В ходе тестирования никаких дополнительных файлов троян не загрузил.

Использование текущей переписки жертв взлома для раздачи вредоносных программ — идея далеко не новая, но, видимо, набирающая популярность в криминальных кругах. Такой же прием социальной инженерии использовали авторы недавней Qakbot-кампании, засветившейся на радарах Sophos.

Следующая главная новость »

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!

Яков Шпунт 22 Мая 2026 - 10:08

Соответствие законодательству РФ Общее Персональный VPN Анонимайзеры Системы контентной веб-фильтрации Соответствие требованиям регуляторов Наталья Касперская

Касперская: платный VPN ударит по российским разработчикам

Планы Минцифры ввести дополнительную плату за потребление международного трафика, в том числе для осложнения использования VPN, могут осложнить работу российских разработчиков и ослабить их конкурентоспособность. Это связано с сохраняющейся зависимостью отрасли от зарубежных технологий и инфраструктуры.

О возможных сложностях для ИТ-отрасли при изменении модели тарификации для российских пользователей рассказала президент ГК InfoWatch, председатель правления Ассоциации разработчиков программных продуктов «Отечественный софт» Наталья Касперская в эфире Радио РБК.

«Мне кажется, что брать деньги за международный трафик — это не совсем правильно. У нас всё-таки до сих пор интернет остаётся частью глобальной сети. Например, для разработки много чего по-прежнему находится за границами России. Россию ставят в неконкурентную ситуацию», – заявила Наталья Касперская.

Она напомнила, что разработчики во всех странах используют готовые компоненты, чтобы не писать код «с нуля». Это касается в том числе компаний, создающих проприетарные продукты. При этом многие владельцы репозиториев кода уже блокируют или ограничивают доступ для российских организаций.

О планах ввести дополнительную плату за превышение объёма зарубежного трафика стало известно в конце марта. Меру планировалось применить к пользователям мобильного интернета: дополнительная плата должна была взиматься за объём свыше 15 Гбайт в месяц.

Однако практическое внедрение оказалось сложным для операторов. 20 мая стало известно о переносе сроков запуска новой тарификации. Ориентировочной датой теперь называется октябрь.

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!