Détection d’IcedID : La Dernière Campagne Contre les Organismes Gouvernementaux Ukrainiens

[post-views]
avril 14, 2022 · 4 min de lecture
Détection d’IcedID : La Dernière Campagne Contre les Organismes Gouvernementaux Ukrainiens

Le 14 avril, l’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) a émis un nouvel avertissement qui avertit d’une cyberattaque en cours exploitant le tristement célèbre IcedID malware conçu pour compromettre les organismes d’État ukrainiens. Le malware détecté, également appelé BankBot ou BokBot, est un cheval de Troie bancaire principalement conçu pour cibler les données financières et voler des identifiants bancaires.

Avec un niveau de confiance moyen, l’activité malveillante révélée dans la dernière cyberattaque utilisant le cheval de Troie IcedID est associée aux comportements adverses d’un groupe suivi sous le nom de UAC-0041. En plus d’exploiter les malwares mentionnés ci-dessus, ces acteurs de la menace sont également connus pour avoir utilisé les souches malveillantes AgentTesla et XLoader dans des cyberattaques précédentes contre l’infrastructure critique ukrainienne.

IcedID utilisé pour compromettre les systèmes gouvernementaux ukrainiens : Aperçu de l’attaque

Le malware IcedID a été découvert pour la première fois en 2017 ciblant des banques américaines et canadiennes, et depuis lors, il a été utilisé dans une série de campagnes adverses ciblant les institutions financières, les fournisseurs de télécommunications et d’e-commerce, ainsi que d’autres organisations à travers le monde.

À l’origine, le malware IcedID a été conçu comme un cheval de Troie bancaire et un voleur d’informations, capable de vider les identifiants bancaires, d’accéder aux données financières des victimes et d’effectuer des transactions malveillantes automatisées. Une fois sur le réseau ciblé, le malware surveille l’activité des appareils et lance des attaques d’homme-dans-le-navigateur. Typiquement, une telle attaque comporte trois étapes, à savoir l’injection web, la configuration du proxy et la redirection. En suivant cette routine malveillante, IcedID est capable de tromper les victimes par le biais de l’ingénierie sociale, de contourner l’authentification multi-facteurs et d’accéder aux comptes bancaires. Hormis les capacités de vol de données, IcedID est fréquemment utilisé comme dropper de malware en deuxième étape. En particulier, les dernières campagnes IcedID montrent que la souche malveillante est largement utilisée pour livrer des charges utiles de ransomware.

Dans la cyberattaque la plus récente contre des organismes gouvernementaux ukrainiens, le cheval de Troie bancaire mentionné ci-dessus est distribué via des macros malveillantes qui permettent d’exécuter un composant de chargement de la chaîne d’infection IcedID et finissent par compromettre l’infrastructure ciblée.

Détection de malware IcedID : contenu comportemental basé sur Sigma pour identifier la dernière activité UAC-0041

Pour détecter les attaques IcedID nouvellement découvertes, les praticiens de la sécurité peuvent exploiter un ensemble de règles Sigma soigneusement sélectionnées disponibles dans une pile de détection étendue de la plateforme SOC Prime.

Règles Sigma pour détecter les attaques IcedID par UAC-0041

Pour assurer la recherche de contenu la plus pratique pour la dernière activité UAC-0041, toutes les détections pertinentes sont étiquetées en conséquence sous #UAC-0041. Assurez-vous de vous être inscrit à la plateforme Detection as Code de SOC Prime pour accéder aux algorithmes de détection référencés ci-dessus.

De plus, les praticiens de la sécurité peuvent rechercher des menaces liées à IcedID dans leur environnement cloud-native via le module Quick Hunt de SOC Prime en utilisant toutes les détections mentionnées ci-dessus.

Contexte MITRE ATT&CK®

Dans cet article de blog, nous avons également couvert le contexte de la dernière cyberattaque impliquant la distribution du dangereux malware IcedID basé sur le cadre MITRE ATT&CK et les TTP des adversaires. Pour fournir le contexte pertinent, toutes les règles de détection basées sur Sigma sont alignées avec la dernière version du cadre ATT&CK abordant les tactiques et techniques associées :

 

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande 3 min de lecture Plateforme SOC Prime Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande by Steven Edwards Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore 5 min de lecture Dernières Menaces Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore by Veronika Telychko Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes 5 min de lecture Dernières Menaces Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes by Veronika Telychko
Toutes les actualités