Detección de IcedID: La última campaña contra organismos gubernamentales ucranianos
Tabla de contenidos:
El 14 de abril, el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) emitió una nueva alerta que advierte sobre un ciberataque en curso que utiliza el infame malware IcedID diseñado para comprometer cuerpos estatales ucranianos. El malware detectado, también conocido como BankBot o BokBot, es un troyano bancario diseñado principalmente para dirigirse a datos financieros y robar credenciales bancarias.
Con un nivel medio de confianza, la actividad maliciosa revelada en el último ciberataque utilizando el troyano IcedID está asociada con los patrones de comportamiento adversario de un grupo rastreado como UAC-0041. Además de utilizar el malware mencionado anteriormente, se sabe que estos actores de amenazas también han aplicado AgenteTesla y XLoader cepas maliciosas en ataques cibernéticos anteriores contra la infraestructura crítica ucraniana.
IcedID utilizado para comprometer sistemas del gobierno ucraniano: Vista general del ataque
El malware IcedID salió a la luz por primera vez en 2017 apuntando a bancos de EE. UU. y Canadá, y desde entonces se ha aplicado en una serie de campañas adversarias dirigidas a instituciones financieras, proveedores de telecomunicaciones y comercio electrónico, y otras organizaciones alrededor del mundo.
Originalmente, el malware IcedID fue diseñado como un troyano bancario y robador de información, capaz de extraer credenciales bancarias, acceder a los datos financieros de las víctimas y realizar transacciones maliciosas automatizadas. Al infiltrarse en la red objetivo, el malware monitorea la actividad de los dispositivos y lanza ataques de tipo hombre-en-el-navegador. Típicamente, tal ataque cubre tres pasos, a saber, inyección web, configuración de proxy y redirección. Siguiendo esta rutina maliciosa, IcedID puede atraer a las víctimas mediante ingeniería social, superar la autenticación multifactor y acceder a cuentas bancarias. Exceptuando las capacidades de robo de datos, IcedID se aplica frecuentemente como un descargador de malware de segunda etapa. Particularmente, las últimas campañas de IcedID muestran que la cepa maliciosa se está utilizando extensamente para entregar cargas útiles de ransomware.
En el ciberataque más reciente contra cuerpos gubernamentales ucranianos, el troyano bancario mencionado arriba se está distribuyendo a través de macros maliciosos que permiten ejecutar un componente cargador de la cadena de infección IcedID y termina comprometiendo la infraestructura objetivo.
Detección de Malware IcedID: Contenido basado en Sigma para Identificar la Actividad Reciente de UAC-0041
Para detectar los ataques IcedID recientemente descubiertos, los profesionales de la seguridad pueden utilizar un conjunto de reglas Sigma curadas disponibles dentro de una amplia pila de detección de la plataforma de SOC Prime.
Reglas Sigma para detectar ataques IcedID por UAC-0041
Para asegurar la búsqueda de contenido más conveniente para la actividad más reciente de UAC-0041, todas las detecciones relevantes están etiquetadas de manera correspondiente como #UAC-0041. Asegúrese de haberse registrado en la plataforma Detection as Code de SOC Prime para acceder a los algoritmos de detección referenciados arriba.
Además, los profesionales de la seguridad pueden buscar amenazas relacionadas con IcedID en su entorno nativo en la nube a través del módulo Quick Hunt de SOC Prime usando todas las detecciones mencionadas anteriormente.
Contexto MITRE ATT&CK®
En este artículo de blog, también hemos cubierto el contexto del último ciberataque que involucra la distribución del nefasto malware IcedID basado en el marco MITRE ATT&CK y los TTPs del adversario. Para proporcionar el contexto relevante, todas las reglas de detección basadas en Sigma están alineadas con la última versión del marco ATT&CK abordando las tácticas y técnicas relacionadas:
