Les acteurs de la menace liés au chargeur de logiciels malveillants connu sous le nom d’IcedID ont mis à jour le module BackConnect (BC) qui est utilisé pour l’activité post-compromis sur les systèmes piratés, révèlent de nouvelles découvertes de l’équipe Cymru.
IcedID, également appelé BokBot, est une souche de malware similaire à Emotet et QakBot qui a commencé comme un cheval de Troie bancaire en 2017, avant de passer au rôle de facilitateur d’accès initial pour d’autres charges utiles. Des versions récentes du logiciel malveillant ont été observées supprimant les fonctionnalités liées à la fraude bancaire en ligne pour donner la priorité à la livraison de rançongiciels.
Le module BackConnect (BC), documenté pour la première fois par Netresec en octobre 2022, s’appuie sur un protocole propriétaire de commande et de contrôle (C2) pour échanger des commandes entre un serveur et l’hôte infecté. Le protocole, qui est fourni avec un composant VNC pour l’accès à distance, a également été identifié dans d’autres logiciels malveillants tels que BazarLoader et QakBot, désormais abandonnés.
En décembre 2022, l’équipe Cymru a signalé la découverte de 11 BC C2 actifs depuis le 1er juillet 2022, notant que des opérateurs probablement situés en Moldavie et en Ukraine supervisent des éléments distincts du protocole BC.
« Au cours des derniers mois, le trafic BackConnect causé par IcedID était facile à détecter car il se produisait sur le port TCP 8080 », a déclaré l’unité 42 de Palo Alto Networks fin mai 2023. « Cependant, dès le 11 avril 2023, l’activité BackConnect pour IcedID a été remplacé par le port TCP 443, ce qui le rend plus difficile à trouver. »
La dernière analyse de l’infrastructure d’attaque de l’équipe Cymru a révélé que le nombre de BC C2 est passé de 11 à 34 depuis le 23 janvier 2023, la disponibilité moyenne d’un serveur réduisant considérablement de 28 jours à huit jours.
« Depuis le 11 avril 2023, un total de 20 serveurs BC C2 à haute confiance ont été identifiés, sur la base des pivots de l’infrastructure de gestion », a déclaré la société de cybersécurité dans un rapport partagé avec The Hacker News.
« Le premier constat est que le nombre de serveurs C2 simultanés en fonctionnement a augmenté […]avec jusqu’à quatre serveurs C2 recevant des communications de gestion un jour donné. »
Un examen plus approfondi du trafic provenant des serveurs BC C2 a découvert jusqu’à huit victimes potentielles entre fin avril 2023 et juin 2023 qui « ont communiqué avec trois BC C2 ou plus sur une période de temps relativement longue ».
On soupçonne également que le même opérateur ou affilié IcedID accède à plusieurs victimes dans le même laps de temps, en fonction du volume de trafic observé entre les victimes et les serveurs.
« En examinant l’infrastructure de gestion associée à IcedID BC, nous sommes également en mesure de discerner un modèle d’accès multiples distincts des utilisateurs que nous estimons être à la fois associés aux opérations quotidiennes d’IcedID et à leurs affiliés qui interagissent avec les hôtes victimes après la compromission. « , a déclaré l’équipe Cymru.
« Les preuves contenues dans nos données NetFlow suggèrent que certaines victimes d’IcedID sont utilisées comme mandataires dans les opérations de spam, activées par les capacités SOCKS de BC. Il s’agit d’un double coup potentiel pour les victimes, non seulement elles sont compromises et subissent des pertes de données/financières, mais elles sont également exploité à des fins de diffusion d’autres campagnes IcedID. »
