Yakın zamanda adını duyduğumuz IcedID kötü amaçlı yazılımı, siber saldırganların ilk erişimi elde ettikten 24 saatten daha kısa bir süre içinde adsız bir hedefin Active Directory alanını tehlikeye atmasına ve aynı zamanda hedeflerine ulaşmak için Conti gibi diğer siber tehdit aktörü gruplarından teknikler almasına neden oldu.
IcedID, 2017’de keşfedilen ve bankacılık truva atı olarak bilinen bir kötü amaçlı yazılım olarak karşımıza çıktı. Günümüzde ise bu yazılımın; Emotet, TrickBot, Qakbot, Bumblebee ve Raspberyy Robin gibi diğer kötü amaçlı yazılımlar için bir damlalığa dönüştüğü ortaya çıktı. IcedID’nin teslimini içeren siber saldırıların, özellikle Microsoft’un web’den indirilen Office dosyalarından makroları engelleme kararının ardından çeşitli yöntemlerden yararlandığı da gelen bilgiler arasında yer aldı.
Araştırmacılar, ‘’Siber saldırı boyunca saldırgan, bir rutin oluşturdu ve keşif komutlarını kullanarak kimlik bilgisi hırsızlığı yaptı. Windows protokollerini kötüye kullanarak yanal bir hareket izledi ve yeni tehlikeye atılan ana bilgisayarda Cobalt Strike yürütmeyi başardı.’’ ifadelerini kullandılar.
Uzmanlar, izinsiz girişin enfeksiyon zincirinin IcedID yükünün yürütülmesiyle sonuçlanan bir ZIP arşivinde bulunan ISO görüntü dosyasıyla siber saldırıya olanak sağladığını ileri sürdü. Kötü amaçlı yazılımın daha sonra programlanmış bir görev aracılığıyla ana bilgisayarda kalıcılık oluşturduğu belirtildi. Ayrıca kötü amaçlı yazılımın, Cobalt Strike Beacon da dahil olmak üzere sonraki aşamanın yüklerini indirmek için uzak bir sunucuyla iletişim kurduğu da ifade edildi.
Araştırmacılar, ‘’Bunun gibi BT araçlarını kullanmak, siber saldırganların ilk kalıcılık mekanizmalarının keşfedilmesi ve düzeltilmesi durumunda kendileri için ek bir ‘arka kapı’ oluşturmalarına olanak tanıyor. Ayrıca bu araçların antivirüs tarafından algılanma olasılığı da düşük.’’ dedi.
Kasım 2022’de ProofPoint’ten Emotet etkinliğindeki canlanmanın yeni bir IcedID sürümünün dağıtımıyla bağlantılı olduğuna dair yayınlanan bir rapor da bu anlamda dikkat çekti.
