Троян IcedID стал мощнее благодаря обновлённому модулю BackConnect

Троян IcedID стал мощнее благодаря обновлённому модулю BackConnect

Троян IcedID стал мощнее благодаря обновлённому модулю BackConnect

Авторы известного банковского трояна IcedID внесли ряд изменений в модуль BackConnect (BC), который используется после проникновения вредоноса на устройство. Специалисты считают, что троян стал ещё более мощной киберугрозой.

IcedID, известный также под именем BokBot, обычно сравнивают с троянами Emotet и QakBot. В марте этого разработчики IcedID перепрофилировали его для доставки других зловредов, а уже этим летом IcedID начали связывать с JavaScript-курьером PindOS.

О модуле BackConnect, которым оснащён троян, впервые рассказали исследователи Netresec в октябре 2022 года. BC полагается на проприетарный C2-протокол для обмена командами между сервером и заражённым хостом.

Ранее этот протокол, который идёт с компонентом VNC для удалённого доступа, также был замечен в реализациях атак BazarLoader и QakBot.

«В последние несколько месяцев трафик BackConnect, спровоцированный активностью IcedID, было легко засечь, поскольку он задействовал TCP-порт 8080. Однако 11 апреля 2023 года BackConnect поменял порт на 443, что уже значительно сложнее детектировать», — писала в отчёте команда Unit 42 (принадлежит Palo Alto Networks).

О последней активности модуля BC рассказали исследователи из Team Cymru. Согласно их наблюдениям, с 23 января число командных серверов увеличилось с 11 до 34, однако время беспрерывной работы сократилось с 28 дней до восьми.

Как объяснили специалисты изданию The Hacker News, анализ вредоносного трафика позволил выявить восемь жертв, которых смог заразить IcedID в период с конца апреля по июнь 2023-го.

Исходя из объёма трафика эксперты также сделали вывод, что доступ к нескольким атакованным устройствам в течение одного и того же временного отрезка получает один тот же оператор вредоноса.

В Team Cymru подчеркнули, что некоторых жертв троян использует в качестве прокси-серверов для распространения спама. Другими словами, заражение IcedID может привести не только к финансовым потерям, но и к использованию вашего компьютера для дальнейшего распространения вредоносной программы.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Шпионы Sticky Werewolf предлагают выполнять оборонзаказы с помощью зэков

Отпраздновав Новый год, шпионская кибергруппа Sticky Werewolf возобновила рассылку вредоносных писем на адреса российских научно-производственных предприятий. Поддельные сообщения, по словам F.A.C.C.T., написаны от имени Минпромторга.

Фальшивка, обнаруженная 13 января, предлагает рассмотреть возможность выполнения заказов ОПК с привлечением осужденных. К письму прикреплены два файла: документ-приманка на бланке Минпромторга, почти полностью дублирующий текст сообщения, и запароленный архив.

 

Последний содержит два файла, один из них безобидный (список рассылки.docx), другой вредоносный (Форма заполнения.pdf.exe). При запуске экзешника в систему устанавливается Ozone RAT, открывающий удаленный доступ злоумышленникам.

В ходе расследования эксперты обнаружили аналогичное письмо от 23 декабря. Оба вложения, уже знакомые документы Word, никакой опасности не представляют — по всей видимости, это была проба пера.

Примечательно, что при составлении текста писем имитаторы допустили ошибки. Так, упомянутый ими Денис Мантуров давно уже не глава Минпромторга, он покинул этот пост в мае прошлого года.

Подлог выдают также разные даты принятия решения об использовании пенитенциарной системы в оборонке, проставленные в январском и декабрьском письмах (в последнем случае злоумышленники указали тот же номер документа, но датировали его декабрем).

APT-группа Sticky Werewolf уже который год интересуется секретами российских госучреждений, промпредприятий ВПК и связанных с ним НИИ. Нацеленные на шпионаж атаки были замечены также на территории Белоруссии и Польши.

Их обычно предваряет рассылка поддельных писем на адреса намеченной жертвы. Вредоносные вложения могут содержать Darktrack RAT, Ozone RAT либо ворующего информацию трояна — Glory Stealer, MetaStealer (мод RedLine).

В прежних атаках на российские организации Sticky Werewolf прикрывалась именами МЧС, Минстроя, а также ФСБ России.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru