IceID: analisi ed evoluzione di una campagna time to ransomware

Un banking trojan dapprima diffuso mediante un’intensa campagna di phishing, in seguito trasformatasi in qualcosa di molto più serio.
Nel mondo della sicurezza informatica è piuttosto comune che una minaccia dapprima individuata e classificata come un determinato elemento, in seguito si trasformi in qualcos’altro.

Cos’è ICeID?
Evoluzione di IceID
Analisi della campagna PrometheusTDS

Ciò accade perché i collettivi criminali, le cybergang e i cybercriminali solitari, attuano delle modifiche radicali ai loro strumenti di attacco per eludere le misure di sicurezza attuate contro di essi e tornare a colpire in maniera differente, ma ugualmente pericolosa.

Di esempi del genere ne sono stati scoperti a palate nel corso degli anni, ma una delle minacce che maggiormente rappresentano questo tipo di mentalità e di azione, risponde al nome di IceID.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Cos’è ICeID?

IceID, conosciuto anche come BlackBot, venne rilevato per la prima volta nel novembre 2017 e in seguito fu classificato come un malware appartenente alla categoria degli Initial Access Broker. Si tratta di un software malevolo messo a punto per ottenere e rivendere le credenziali di accesso ai servizi più sensibili di utenti semplici, aziende e organizzazioni che finiscono nel suo mirino.

Dapprima IceID veniva impiegato per impossessarsi delle credenziali bancarie degli utenti presi d’assalto e veniva diffuso mediante le consuete campagne di phishing. Queste erano condotte mediante le classiche e-mail con allegato malevolo, che, una volta aperto, scaricava all’interno del dispositivo vittima un payload attraverso la connessione ad un server C&C gestito dai cybercriminali, in modo da effettuare in seguito l’injection del codice malevolo vero e proprio.

Tuttavia, IceID non era il solo attore malevolo del genere in circolazione, ma apparteneva ad una vera e propria famiglia di banking trojan che comprendeva al suo interno anche esempi illustri, come:

Trickbot
Quackbot
Emotet

Ciò che li accomunava era anche il modello di business che era stato adottato, ovvero il Malware-as-a-Service (MaaS) e, con un aggiornamento risalente al 2021, IceID venne dotato anche di un’architettura modulare pensata per propagarsi nella rete e monitorare le attività del sistema infetto, oltre al trafugare le informazioni sensibili.

Evoluzione di IceID

A febbraio 2023 i ricercatori di Proofpoint hanno osservato alcune varianti di IceID, in particolare due di queste hanno catturato la loro attenzione: Lite e Forked. La pericolosità è legata al fatto che queste sono in grado di aprire le strade verso forme di attacco più subdole e complesse.

Infatti, venne subito dopo osservata una mutazione drastica dello stesso, in quanto venne diffusa una nuova variante mediante la campagna di phishing PrometheusTDS. L’analisi del codice ha portato alla luce come questa nuova forma sia stata realizzata mediante Cobalt Strike, poiché fa uso del modulo beacon dello stesso per dare inizio al deploy vero e proprio, garantendo così una persistenza all’interno del sistema infettato.

La campagna PrometheusTDS è stata condotta sfruttando uno strumento conosciuto come AWSCollector, ovvero una versione personalizzata per azioni malevole di PowerShell. Ciò per facilitare una serie di azioni dannose per il sistema vittima, come:

Rilevamento delle misure di sicurezza
Analisi degli hard drive presenti sul sistema e del contenuto
Spostamento laterale
Estrazione di dati
Deployment di ulteriori ransomware.

IceID Infografica

Analisi della campagna PrometheusTDS

La nuova campagna di phishing ha avuto inizio ad agosto 2023, il cui obiettivo era appunto diffondere la nuova variante di IceID. Questa ha sfruttato il sistema Prometheus Traffic Direction System, con le vittime reindirizzate ad un sito fraudolento che imitava il portale di download di Microsoft Azure. Una volta che si cliccava il pulsante Downalod, veniva scaricato sul sistema vittima un file JavaScript, che quando eseguito dava inizio ad un attacco suddiviso in più fasi.

Il primo step genera un file batch, immediatamente eseguito sul sistema preso d’assalto. Questo viene usato per scaricare un file chiamato IceID.dll mediante comando curl, permettendo così l’installazione e l’esecuzione del malware. Ciò permette allo stesso di garantirsi una persistenza all’interno del sistema, creando un task nello schedule che permette una sua continua operatività anche a seguito di un riavvio.

Ottenuta la persistenza, IceID si connette al server Command & Control controllato dai cybercriminali, in modo da analizzare gli hard drive del sistema infettato mediante una serie di comandi che sfruttano le utility intrinseche a Windows. Secondo le analisi di Proofpoint questo processo va avanti per 30 ore, a seguito delle quali viene effettivamente scaricato ed eseguito un beacon di Cobalt Strike, tramite un comando di PowerShell.

Nel momento in cui questo viene eseguito, l’attore malevolo è in grado di effettuare un accesso diretto al LSASS (Local Security Authority Subsystem Service), un servizio cruciale dei sistemi operativi Microsoft che permette di ottenere l’accesso alle credenziali utente e in seguito, mediante il comando GetSystem, impossessarsi anche dei privilegi amministrativi di sistema. Tutto questo in meno di cinque minuti dall’inizio dell’esecuzione del modulo beacon.

Ottenute credenziali e privilegi di sistema, il criminale può effettuare svariati movimenti laterali nella rete a cui è connesso il computer infetto. Queste azioni hanno il fine di trasferire un altro beacon di Cobalt Strike verso il controller di dominio, sfruttando il protocollo SMB (Server Message Block). Ciò avviene mediante una combinazione di comandi remoti, AdFind e Sharefinder.

Dopo aver individuato le risorse desiderate, viene effettuato il deploy di Rclone, che si occupa di estrarre i dati selezionati, venendo gestito da remoto mediante una versione personalizzata di PowerShell chiamata AWSCollector. In questo modo è possibile non solo espandere i moduli beacon su altri host di rete, ma perfino controllare la velocità e la fattibilità del processo di estrazione, in quanto viene effettuato anche il deploy di un tool molto simile ad un software di Speedtest.

Analizzando a fondo la campagna di phishing, è emerso anche l’utilizzo da parte dei cybercriminali di strumenti come Seatbelt e SoftPerfect Netscan, mirati a scandagliare ancora più a fondo la rete infettata. Questo per prendere d’assalto anche l’infrastruttura di virtualizzazione e individuare ulteriori credenziali di accesso.

Alla fine di questi processi di analisi ed estrazione dei dati, IceID installa AnyDesk sul controllo di dominio, mediante uno script creato con PowerShell, che crea al tempo stesso un account utente completamente nuovo e in possesso dei privilegi di amministratore locale. Mediante AnyDesk è possibile per il cybercriminale effettuare il login nel controller di dominio e accedere così a varie utilities per amministratori, come:

Sites & Services
Administrative Center
Domains and Trusts
Users and Computers
Group Policy

Con i nuovi privilegi di sistema ottenuti, l’attore malevolo configura un controller di dominio per effettuare un attacco RDP agli altri segmenti di rete. Ciò avviene sfruttando il comando setspn, che chiama direttamente il protocollo Kerberos Service Principal Names (KSPNs). Tutto questo è per il deploy dell’ultimo pezzo del puzzle: il ransomware Dagon Locker direttamente sul controller di dominio, in modo da disabilitare i servizi, eliminare le copie ombra e diffondere il ransomware su tutto il dominio di rete.

La campagna di phishing alla fine risulta in un TTR (Time to Ransomware) della durata di ben 684 ore, ovvero 29 giorni.

In conclusione

In base a quanto si è discusso, un attore malevolo non sempre fa ricorso alla stessa strategia per colpire una vittima, ma muta a seconda dei tempi e delle situazioni che si vengono a creare.

La campagna PrometheusTDS non fa che sottolineare ulteriormente come questo trend sia in rapida ascesa nell’odierno mondo digitale e che nessuno deve mai abbassare la guardia, o sottovalutare le minacce incombenti. La soluzione migliore resta sempre quella di non fidarsi di ciò che si riceve via e-mail, o a ciò che si scarica da internet. Valutare bene le proprie fonti, prendersi del tempo per riflettere e non agire in maniera impulsiva sono sempre le soluzioni migliori per sfuggire alle campagne di phishing e alle minacce come IceID.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, laureato in Informatica e Comunicazione Digitale e grafico ACP. Ha mosso i primi passi nel mondo dell’informatica grazie ai videogiochi, divenendo in seguito appassionato di motori grafici. Scrive per passione da quando aveva sei anni e non immaginava di certo che un giorno sarebbe diventata una sua professione.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.