Erkennung von IcedID: Die jüngste Kampagne gegen ukrainische Regierungsstellen
Inhaltsverzeichnis:
Am 14. April hat das Computer Emergency Response Team der Ukraine (CERT-UA) eine neue Warnung herausgegeben, die vor einem laufenden Cyber-Angriff warnt, der das berüchtigte IcedID Malware nutzt, um ukrainische Staatsorgane zu kompromittieren. Die entdeckte Malware, auch als BankBot oder BokBot bekannt, ist ein Banking-Trojaner, der hauptsächlich darauf abzielt, Finanzdaten anzugreifen und Bankanmeldedaten zu stehlen.
Mit mittlerem Vertrauen wird die bösartige Aktivität des neuesten Cyber-Angriffs mithilfe des IcedID-Trojaners mit den Verhaltensmustern von UAC-0041 in Verbindung gebracht. Neben der Nutzung der oben genannten Malware sind diese Bedrohungsakteure auch dafür bekannt, AgentTesla und XLoader in früheren Cyber-Angriffen gegen kritische ukrainische Infrastrukturen angewendet zu haben.
IcedID genutzt, um ukrainische Regierungssysteme zu kompromittieren: Überblick über den Angriff
Die IcedID-Malware trat erstmals 2017 in Erscheinung und zielte auf US-amerikanische und kanadische Bankenab, und seitdem wurde sie in einer Reihe von gegnerischen Kampagnen eingesetzt, die sich gegen Finanzinstitutionen, Telekommunikations- und E-Commerce-Anbieter sowie andere Organisationen weltweit richten.
Ursprünglich wurde die IcedID-Malware als Banking-Trojaner und Informationsdiebstahlwerkzeug entwickelt, das in der Lage ist, Bankanmeldedaten auszuschleusen, auf die Finanzdaten der Opfer zuzugreifen und automatisierte bösartige Transaktionen durchzuführen. Beim Eindringen in das Zielnetzwerk überwacht die Malware die Aktivitäten der Geräte und startet Man-in-the-Browser-Angriffe. Typischerweise umfasst ein solcher Angriff drei Schritte, nämlich Web-Injektion, Proxy-Konfiguration und Umleitung. Indem sie dieser bösartigen Routine folgt, ist IcedID in der Lage, Opfer durch Social Engineering zu ködern, die Multi-Faktor-Authentifizierung zu umgehen und auf Bankkonten zuzugreifen. Abgesehen von den Datendiebstahlfähigkeiten wird IcedID häufig als sekundäre Malware-Loader eingesetzt. Insbesondere zeigen die neuesten IcedID-Kampagnen, dass der bösartige Strain intensiv genutzt wird, um Ransomware-Payloads auszuliefern.
Im jüngsten Cyber-Angriff auf ukrainische Regierungsstellen wird der oben genannte Banking-Trojaner über bösartige Makros verteilt, die das Ausführen einer Loader-Komponente der IcedID-Infektionskette ermöglichen und die Zielinfrastruktur kompromittieren.
IcedID-Malware-Erkennung: Sigma verhaltensbasierter Inhalt zur Identifizierung der neuesten UAC-0041-Aktivitäten
Um die neu entdeckten IcedID-Angriffe zu erkennen, können Sicherheitsfachleute eine Reihe kuratierter Sigma-Regeln nutzen, die innerhalb eines umfangreichen Erkennungsstapels der SOC Prime-Plattform verfügbar sind.
Sigma-Regeln zur Erkennung von IcedID-Angriffen durch UAC-0041
Um die bequemste Inhaltssuche für die neuesten UAC-0041-Aktivitäten zu gewährleisten, sind alle relevanten Erkennungen entsprechend gekennzeichnet als #UAC-0041. Stellen Sie sicher, dass Sie sich für die Detection as Code-Plattform von SOC Prime registriert haben, um Zugriff auf die oben genannten Erkennungsalgorithmen zu erhalten.
Darüber hinaus können Sicherheitsfachleute nach IcedID-bezogenen Bedrohungen in ihrer cloud-nativen Umgebung über das Quick Hunt Modul von SOC Prime suchen und alle oben genannten Erkennungen nutzen.
MITRE ATT&CK® Kontext
In diesem Blogartikel haben wir auch den Kontext des neuesten Cyber-Angriffs behandelt, bei dem die Verteilung der schädlichen IcedID-Malware auf der Grundlage des MITRE ATT&CK-Frameworks und der gegnerischen TTPs erfolgt. Um den relevanten Kontext bereitzustellen, sind alle dedizierten Sigma-basierenden Erkennungsregeln an die neueste Version des ATT&CK-Frameworks ausgerichtet, die die zugehörigen Taktiken und Techniken adressiert:
