La rápida infección por malware IcedID llama la atención de los investigadores

El malware IceID está dando que hablar debido a la rápida acción que toman sus operadores luego de la infección.

En una campaña reciente de IcedID, se destacó la rápida acción de los atacantes, quienes iniciaron un movimiento lateral dentro de la red infectada dentro de la primera hora y comprometieron el Active Directory de un objetivo dentro de las 24 horas.

Según los investigadores de Cybereason, los atacantes utilizaron archivos ISO y LNK en lugar de los tradicionales ataques a través de phishing que entregaban documentos basados en macros.

El ataque comienza con un archivo ISO empaquetado dentro de una carpeta ZIP. Al abrir el archivo en el dispositivo de la víctima, se crea un disco virtual, el cual contiene un solo archivo: un LNK vinculado a un archivo por lotes. Tras la ejecución, el archivo por lotes suelta un archivo DLL y lo ejecuta con rundll32.exe. Esto estableció una conexión con el dominio relacionado con IcedID, desde donde se descarga la carga útil de este mismo.

A los pocos minutos de la infección, el atacante escanea toda la red a través de net.exe para recopilar información sobre el dominio, los miembros del grupo de administración y la estación de trabajo. Luego, crea una tarea programada que debe ejecutarse cada hora y cada reinicio del sistema, lo que aumenta la persistencia del malware en la máquina.

Después de establecer un punto de apoyo inicial en la máquina, se carga un archivo DLL (cuaf.dll) que originalmente es una baliza de Cobalt Strike. Simultáneamente, establece una conexión con un servidor C2 conocido. Dentro de los siete minutos posteriores a la infección, los atacantes podrían utilizar Cobalt Strike para cargar la herramienta Rubeus utilizada para la interacción con Kerberos, junto con la herramienta de administración remota Atera para crear una puerta trasera adicional.

Además, los atacantes utilizaron Cobalt strike para descargar herramientas adicionales, incluidos net.exe, ping.exe y nltest.exe, para el reconocimiento. Dentro de los 15 minutos de la infección, el malware comienza a moverse lateralmente.

En este incidente, los atacantes robaron la credencial de una cuenta de servicio del objetivo a través de Kerberoasting y se trasladaron lateralmente a un servidor Windows interno donde se implementó la baliza Cobalt Strike.
Se ejecutaron las mismas balizas en todas las estaciones de trabajo detectadas en la red.

Una hora después de la infección inicial, se observó que los atacantes realizaban movimientos laterales en toda la red de destino utilizando el Instrumental de administración de Windows (WMI). Después de obtener acceso a los servidores de archivos, elevaron los permisos de acceso para llevar a cabo un ataque DCSync y comprometieron con éxito el dominio de la red dentro de las 19 horas posteriores al ataque inicial.

Otras herramientas utilizadas durante el ataque incluyen la utilidad Netscan (para escanear la red), Rclone (para la exfiltración de directorios) y el almacenamiento en la nube MEGA para sincronizar varios directorios.