Rilevamento di IcedID: L’ultima Campagna Contro gli Enti Governativi Ucraini

Il 14 aprile, il Computer Emergency Response Team dell’Ucraina (CERT-UA) ha emesso un nuovo avviso che avverte di un attacco informatico in corso che sfrutta il famigerato malware IcedID progettato per compromettere i corpi statali ucraini. Il malware rilevato, noto anche come BankBot o BokBot, è un Trojan bancario progettato principalmente per mirare ai dati finanziari e rubare credenziali bancarie.

Con un livello medio di fiducia, l’attività dannosa rivelata nell’ultimo attacco informatico utilizzando IcedID Trojan è associata ai modelli di comportamento avversario di un gruppo monitorato come UAC-0041. Oltre a sfruttare il malware sopra menzionato, questi attori malevoli sono noti anche per aver applicato AgentTesla e XLoader infezioni malevole in precedenti attacchi informatici contro l’infrastruttura critica ucraina.

IcedID utilizzato per compromettere i sistemi governativi ucraini: panoramica dell’attacco

Il malware IcedID è emerso per la prima volta nel 2017 mirando alle banche statunitensi e canadesi, e da allora è stato applicato in una serie di campagne avversarie mirate a istituzioni finanziarie, fornitori di telecomunicazioni e e-commerce, e altre organizzazioni nel mondo.

Originariamente, il malware IcedID è stato progettato come un Trojan bancario e informazioni, in grado di scaricare credenziali bancarie, accedere ai dati finanziari delle vittime e svolgere transazioni dannose automatizzate. Al momento dell’atterraggio sulla rete bersaglio, il malware monitora l’attività dei dispositivi e lancia attacchi man-in-the-browser. Tipicamente, un attacco del genere comprende tre fasi, ovvero l’iniezione web, la configurazione del proxy e il reindirizzamento. Seguendo questa routine malevola, IcedID è in grado di attirare le vittime tramite l’ingegneria sociale, superare l’autenticazione multifattoriale e accedere ai conti bancari. Oltre alle capacità di furto dei dati, IcedID è frequentemente applicato come caricatore di malware di seconda fase. In particolare, le ultime campagne IcedID mostrano che la variante malevola è ampiamente sfruttata per distribuire payload di ransomware.

Nell’attacco informatico più recente sui corpi governativi ucraini, il Trojan bancario sopra menzionato viene distribuito tramite macro malevole che consente l’esecuzione di un componente loader della catena di infezione IcedID e finisce per compromettere l’infrastruttura bersaglio.

Rilevamento del malware IcedID: contenuto basato sul comportamento Sigma per identificare l’attività UAC-0041 più recente

Per rilevare i nuovi attacchi IcedID scoperti, i professionisti della sicurezza possono sfruttare un insieme di regole Sigma curate disponibili all’interno di una vasta gamma di rilevazione della piattaforma SOC Prime.

Regole Sigma per rilevare gli attacchi IcedID da parte di UAC-0041

Per garantire la ricerca di contenuto più conveniente per l’attività UAC-0041 più recente, tutte le rilevazioni pertinenti sono taggate di conseguenza come #UAC-0041. Assicurati di esserti registrato alla piattaforma Detection as Code di SOC Prime per accedere agli algoritmi di rilevamento sopra menzionati.

Inoltre, i professionisti della sicurezza possono cercare minacce correlate a IcedID nel loro ambiente cloud-native tramite il modulo Quick Hunt di SOC Prime utilizzando tutte le rilevazioni sopra menzionate.

Contesto MITRE ATT&CK®

In questo articolo di blog, abbiamo anche trattato il contesto dell’ultimo attacco informatico che coinvolge la distribuzione del nefasto malware IcedID basato sul framework MITRE ATT&CK e TTP avversari. Per fornire il contesto pertinente, tutte le regole di rilevamento basate su Sigma sono allineate con l’ultima versione del framework ATT&CK, affrontando le tattiche e tecniche correlate: