Un reciente ataque de malware IcedID permiti\u00f3 al actor de amenazas comprometer el dominio de Active Directory de un objetivo sin nombre menos de 24 horas despu\u00e9s de obtener el acceso inicial.<\/p>\n
“A lo largo del ataque, el atacante sigui\u00f3 una rutina de comandos de reconocimiento, robo de credenciales, movimiento lateral abusando de los protocolos de Windows y ejecutando Cobalt Strike en el host reci\u00e9n comprometido”, investigadores de Cybereason dicho<\/a> en un informe publicado esta semana.<\/p>\n IcedID, tambi\u00e9n conocido con el nombre de BokBot, comenz\u00f3 su vida como un troyano bancario en 2017 antes de convertirse en un gotero para otro malware, uni\u00e9ndose a Emotet, TrickBot, Qakbot, Bumblebee y Raspberry Robin.<\/p>\n Los ataques relacionados con la entrega de IcedID han aprovechado una variedad de m\u00e9todos, especialmente a ra\u00edz de la decisi\u00f3n de Microsoft de bloquear las macros de los archivos de Office descargados de la web.<\/p>\n La intrusi\u00f3n detallada por Cybereason no es diferente en el sentido de que la cadena de infecci\u00f3n comienza con un archivo de imagen ISO contenido dentro de un archivo ZIP que culmina con la ejecuci\u00f3n de la carga \u00fatil de IcedID.<\/p>\n Luego, el malware establece persistencia en el host a trav\u00e9s de una tarea programada y se comunica con un servidor remoto para descargar cargas \u00fatiles adicionales, incluido Cobalt Strike Beacon para la actividad de reconocimiento de seguimiento.<\/p>\n Tambi\u00e9n realiza movimiento lateral a trav\u00e9s de la red y ejecuta el mismo Cobalt Strike Beacon en todas esas estaciones de trabajo, y luego procede a instalar agente de atera<\/a>una herramienta de administraci\u00f3n remota leg\u00edtima, como un mecanismo de acceso remoto redundante.<\/p>\n “Utilizar herramientas de TI como esta permite a los atacantes crear una ‘puerta trasera’ adicional para ellos mismos en caso de que se descubran y reparen sus mecanismos de persistencia iniciales”, dijeron los investigadores. “Es menos probable que estas herramientas sean detectadas por antivirus o EDR y tambi\u00e9n es m\u00e1s probable que se descarten como falsos positivos”.<\/p>\n El Cobalt Strike Beacon se utiliza adem\u00e1s como conducto para descargar una herramienta de C# denominada rubeus<\/a> para el robo de credenciales, lo que en \u00faltima instancia permite que el actor de amenazas se mueva lateralmente a un servidor de Windows con privilegios de administrador de dominio.<\/p>\n Los permisos elevados luego se arman para organizar un Ataque DCSync<\/a>lo que permite al adversario simular el comportamiento de un controlador de dominio (corriente continua<\/a>) y recuperar credenciales de otros controladores de dominio.<\/p>\n Otras herramientas utilizadas como parte del ataque incluyen una utilidad leg\u00edtima llamada netscan.exe para escanear la red en busca de movimiento lateral, as\u00ed como el software de sincronizaci\u00f3n de archivos rclone para extraer directorios de inter\u00e9s para el servicio de almacenamiento en la nube de MEGA.<\/p>\n Los hallazgos se producen cuando los investigadores del Equipo Cymru arrojaron m\u00e1s luz sobre el protocolo BackConnect (BC) utilizado por IcedID para ofrecer una funcionalidad adicional despu\u00e9s del compromiso, incluida una M\u00f3dulo VNC<\/a> que proporciona un canal de acceso remoto.<\/p>\n “En el caso de BC, parece que hay dos operadores que administran el proceso general con funciones distintas”, dijeron los investigadores. se\u00f1alado<\/a> el mes pasado, agregando “gran parte de la actividad […] ocurre durante la semana laboral t\u00edpica”.<\/p>\n El desarrollo tambi\u00e9n sigue a un informe de Proofpoint en noviembre de 2022 de que un resurgimiento en la actividad de Emotet se ha relacionado con la distribuci\u00f3n de una nueva versi\u00f3n de IcedID.<\/p>\n <\/p>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/01\/El-malware-IcedID-ataca-de-nuevo-Dominio-de-Active-Directory.png\")
<\/div>\n