IcedIDの検知：ウクライナ政府機関に対する最新のキャンペーン

4月14日、ウクライナのコンピュータ緊急対応チーム（CERT-UA）は発表しました 新しい注意喚起 悪名高い IcedID マルウェアを利用してウクライナの国家機関を危険にさらす進行中のサイバー攻撃を警告するものです。検出されたマルウェアは、BankBotやBokBotとも呼ばれ、主に金融データを標的にして銀行の資格情報を盗むために設計されたバンキングトロイの木馬です。

IcedIDトロイの木馬を使用した最新のサイバー攻撃で明らかになった悪意のある活動は、UAC-0041として追跡されるグループの敵対者行動パターンに関連していると、中程度の確信を持って言えます。これに加えて、これらの脅威アクターは以前にも AgentTeslaやXLoader の悪意のある亜種をウクライナの重要インフラへのサイバー攻撃で適用していることが知られています。

IcedIDを利用してウクライナ政府のシステムを侵害：攻撃概要

IcedIDマルウェアは2017年に初めて注目されました 米国とカナダの銀行を標的にしており、それ以来、金融機関、通信、eコマースプロバイダー、その他のグローバルな組織をターゲットにした一連の敵対キャンペーンで適用されています。

元々、IcedIDマルウェアはバンキングトロイの木馬と情報スティーラーとして設計され、銀行の資格情報をダンプする、被害者の金融データにアクセスする、自動で悪意のあるトランザクションを実行することが可能です。標的となったネットワークに到達すると、マルウェアはデバイスの活動を監視し、マルウェアに対してMan-in-the-Browser攻撃を開始します。典型的には、この種の攻撃はウェブ注入、プロキシの構成、リダイレクトの3つのステップをカバーします。この悪意のあるルーチンを追うことで、IcedIDはソーシャルエンジニアリングを用いて被害者を誘導し、二要素認証を克服し、銀行口座にアクセスできるようにしています。データを盗む能力を除けば、IcedIDはしばしば第2段階のマルウェアのドロッパーとして使用されます。特に、最新のIcedIDキャンペーンは、悪意のある亜種がランサムウェアのペイロードを運ぶために広く利用されていることを示しています。

ウクライナ政府機関に対する最新のサイバー攻撃では、上述のバンキングトロイの木馬は、IcedID感染チェーンのローダーコンポーネントを実行することを可能にする悪意のあるマクロを介して配布され、最終的には標的のインフラを危険にさらします。

IcedIDマルウェア検出：最新のUAC-0041活動を識別するためのSigma行動ベースの内容

新たに発見されたIcedID攻撃を検出するために、セキュリティの専門家はSOC Primeのプラットフォームで利用可能な、幅広い検出スタック内のキュレーションされたSigmaルールを活用できます。

UAC-0041によるIcedID攻撃を検出するためのSigmaルール

最新のUAC-0041活動のための最も便利なコンテンツ検索を保証するため、すべての関連する検出は #UAC-0041として適切にタグ付けされています。上述の検出アルゴリズムにアクセスするためには、SOC PrimeのDetection as Codeプラットフォームに登録してください。

さらに、セキュリティの専門家は、SOC Primeの Quick Huntモジュール で上述のすべての検出を使用してクラウドネイティブな環境でIcedID関連の脅威を検索できます。

MITRE ATT&CK®コンテキスト

このブログ記事では、MITRE ATT&CKフレームワークと敵対者のTTPsに基づく悪名高いIcedIDマルウェアの配布に関連する最新のサイバー攻撃のコンテキストも取り上げています。関連するコンテキストを提供するために、すべてのSigmaベースの検出ルールは、関連する戦術と技術に対応する最新のATT&CKフレームワークバージョンに整合されています。