IcedID-Malware kapert E-Mail-Threads und liefert unsichtbare Nutzlast
Ein plötzlicher Anstieg der Aktivität von IcedID E-Mail-Entführung wurde von Sicherheits forschern. IcedID, auch bekannt als BokBot ist seit 2017tätig. Eine allmähliche Entwicklung hat diese Malware von einem regulären Banking-Trojaner zu einer raffinierten Nutzlast geführt, die laufende E-Mail-Konversationen entführt und bösartigen Code über ein Netzwerk kompromittierter Microsoft Exchange-Server injiziert.
Die zuvor in Word-Dokumenten verwendeten Makros wurden von den Angreifern durch ISO-Dateien ersetzt, die Windows LNK- und DLL-Dateien enthalten, die bei gemeinsamer Ausführung die Erkennung umgehen und unbemerkt bleiben, ohne dass das Opfer es merkt. Die am häufigsten angegriffenen Bereiche sind Rechts-, Gesundheits-, Pharma- und Energiesektoren. Das Hauptziel ist der erste Zugang, der dann an andere Gegner verkauft wird.
Erkennung von IcedID-Malware
Die neueste Sigma-basierte Erkennungsregel zur Identifizierung der Aktivität von IcedID-Abwehrumgehung wurde von unserem Threat-Bounty-Entwickler Osman Demirgeschrieben. Loggen Sie sich in Ihr SOC Prime-Konto ein oder melden Sie sich auf der Plattform an, um auf den Code und relevante Bedrohungsinformationen zuzugreifen:
Dieses Erkennungselement wird in die folgenden SIEM-, EDR- und XDR-Formate übersetzt: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender für Endpunkt, CrowdStrike, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, AWS OpenSearch.
Die Regel ist auf den neuesten MITRE ATT&CK®-Rahmen v.10 ausgerichtet, der die Abwehrumgehungstaktik und die Technik der signierten Proxy-Ausführung (T1218) behandelt.
IcedID wurde erstmals 2017 von IBM dokumentiert, und seitdem verbessern Angreifer ihre Techniken und Malware-Modifikationen. Sie können die umfassende Liste der Erkennungsalgorithmen einsehen, die in der Detection as Code-Plattform von SOC Prime verfügbar sind, um Ihre Infrastruktur kontinuierlich vor komplexen Cyberbedrohungen zu schützen. Und wenn Sie über Expertise in diesem Bereich verfügen, können Sie auch Inhalte auf unserer Plattform veröffentlichen und monetäre Belohnungen für die Sicherung der Cyberwelt erhalten.
Erkennungen anzeigen Threat Bounty beitreten
IcedID-Nutzlast Die Zustellung beginnt mit einer Phishing-E-Mail. Die Nachricht fordert den Benutzer auf, ein angehängtes ZIP-Archiv herunterzuladen und zu entpacken, das auch mit einem im Nachrichtentext angegebenen Passwort geschützt ist. Wie bereits erwähnt, erfolgt diese E-Mail als Antwort auf einen laufenden Konversationsthread mit einer legitimen Absenderadresse. In Wirklichkeit handelt es sich jedoch um eine gefälschte Nachricht von einem kompromittierten Microsoft Exchange-Server.
Der Inhalt eines bösartigen ZIP-Archivs umfasst eine einzelne ISO-Datei, die zwei Dateien enthält: DLL und LNK. Laut Zeitstempel ist die DLL-Datei normalerweise neuer als LNK, weshalb Forscher vermuten, dass LNK-Dateien in wenigen Phishing-E-Mails verwendet werden könnten. Die DLL wird mit einem eingebetteten Symbol geliefert, das sie wie ein Dokument aussehen lässt. Beim Klicken darauf beginnt der IcedID-Loader seine Ausführung und lädt die Hauptnutzlast herunter. IcedID-Nutzlast.
Durch das Dekomplizieren der API-Hashing-Funktion lokalisiert der Loader die Nutzlast, entschlüsselt sie, legt sie in den Gerätespeicher und führt sie aus. Danach kann der IcedID GZiploader Anfragen an einen Command-and-Control-Server (C&C) senden und Antworten erhalten.
IcedID-Kampagnen erreichten im März 2022 ein neues Niveau der technischen Raffinesse, indem sie Commodity-Packer und mehrere Stufen zur Verschleierung der Aktivität der IcedID-Informationsdiebstahl-Malwarenutzen. Nutzen Sie die Macht der kollaborativen Verteidigung, indem Sie sich der SOC Prime Detection as Code-Plattform anschließen und sofortigen Zugang zu den aktuellsten Erkennungen erhalten.
