Cyberthreat.id – Temuan baru dari Team Cymru mengungkap pelaku ancaman yang terkait dengan pemuat malware yang dikenal sebagai IcedID telah memperbarui modul BackConnect (BC) yang digunakan untuk aktivitas pasca-kompromi pada sistem yang diretas.

IcedID, juga disebut BokBot, adalah jenis malware yang mirip dengan Emotet dan QakBot yang dimulai sebagai trojan perbankan pada tahun 2017, sebelum beralih ke peran fasilitator akses awal untuk payload lainnya.

“Versi terbaru dari malware telah diamati menghapus fungsionalitas yang terkait dengan penipuan perbankan online untuk memprioritaskan pengiriman ransomware,” tulis The Hacker News.

Modul BackConnect (BC), pertama kali didokumentasikan oleh Netresec pada Oktober 2022, mengandalkan protokol command-and-control (C2) untuk bertukar perintah antara server dan host yang terinfeksi.

Protokol, yang dilengkapi dengan komponen VNC untuk akses jarak jauh, juga telah diidentifikasi dalam malware lain seperti BazarLoader dan QakBot yang sekarang dihentikan.

Pada Desember 2022, Tim Cymru melaporkan penemuan 11 BC C2 aktif sejak 1 Juli 2022, mencatat bahwa operator yang kemungkinan berlokasi di Moldova dan Ukraina mengawasi elemen berbeda dari protokol BC.

“Selama beberapa bulan terakhir, lalu lintas BackConnect yang disebabkan oleh IcedID mudah dideteksi karena terjadi melalui port TCP 8080,” ujar Palo Alto Networks Unit 42 pada akhir Mei 2023.

“Namun, sejak 11 April 2023, aktivitas BackConnect untuk IcedID berubah menjadi TCP port 443, membuatnya lebih sulit ditemukan."

Analisis terbaru infrastruktur serangan dari Team Cymru mengungkapkan bahwa jumlah BC C2 telah melonjak dari 11 menjadi 34 sejak 23 Januari 2023, dengan rata-rata waktu aktif server berkurang secara signifikan dari 28 hari menjadi delapan hari.

"Sejak 11 April 2023, total 20 server BC C2 berkeyakinan tinggi telah diidentifikasi, berdasarkan pivot dari infrastruktur manajemen," kata perusahaan keamanan siber dalam sebuah laporan yang dibagikan kepada The Hacker News.

"Pengamatan pertama adalah bahwa jumlah server C2 bersamaan yang beroperasi telah meningkat [...], dengan sebanyak empat server C2 menerima komunikasi manajemen pada hari tertentu."

Pemeriksaan lebih lanjut dari lalu lintas yang berasal dari server BC C2 telah menemukan sebanyak delapan calon korban antara akhir April 2023 dan Juni 2023 yang "berkomunikasi dengan tiga atau lebih BC C2 selama periode waktu yang relatif lama."

Diduga juga bahwa operator atau afiliasi IcedID yang sama mengakses banyak korban dalam jangka waktu yang sama, berdasarkan volume lalu lintas yang diamati antara korban dan server.

"Tampaknya BC digunakan bersamaan dengan loader IcedID dan infeksi bot," Josh Hopkins, kepala Unit Analis Ancaman S2 di Team Cymru, mengatakan kepada The Hacker News.

Ia menambahkan "kami tidak melihat perbedaan yang jelas dalam infrastruktur dalam cara diakses oleh korban dan aktor ancaman."

Perusahaan cybersecurity juga mengatakan kepada publikasi bahwa dua garpu IcedID yang muncul di alam liar pada Februari 2023 tanpa penipuan perbankan dan modul BackConnect belum terdeteksi di alam liar baru-baru ini, menunjukkan bahwa itu bisa saja merupakan eksperimen berumur pendek.

"Dalam memeriksa infrastruktur manajemen yang terkait dengan IcedID BC, kami juga dapat melihat pola beberapa akses berbeda dari pengguna yang kami nilai terkait dengan operasi IcedID sehari-hari, dan afiliasi mereka yang berinteraksi dengan host korban pasca-kompromi," kata Tim Cymru.

"Bukti dalam data NetFlow kami menunjukkan bahwa korban IcedID tertentu digunakan sebagai proxy dalam operasi spamming, yang diaktifkan oleh kemampuan SOCKS BC.”

“Ini merupakan pukulan ganda potensial bagi para korban, tidak hanya mereka disusupi dan menimbulkan kerugian data/finansial, tetapi juga juga dieksploitasi lebih lanjut untuk tujuan menyebarkan kampanye IcedID lebih lanjut.”[]