IcedIDボットネット検出：Googleのペイパークリック（PPC）広告を悪用したマルバタイジング攻撃

2022年12月下旬、サイバーセキュリティ研究者は注目すべき新たな悪意のある活動のバーストが観察されました。それは IcedIDボットネットの配信です。この継続中の脅威キャンペーンでは、攻撃者がGoogleのペイパークリック(PPC)広告を悪用して、トロイの木馬スパイとして追跡される悪意のあるソフトウェアの新しいバリアントを広めています。

悪意のある広告を通じたIcedIDボットネット感染の検出

IcedIDボットネットが進化を続け、その悪意のあるツールセットに新たなトリックを追加していることを考慮し、セキュリティ専門家は潜在的な攻撃を事前に特定するための信頼できる検出コンテンツソースが必要です。進化する脅威に対してサイバー防衛者が十分に武装されるようにするために、SOC Primeのコードとしての検出プラットフォームは、私たちの精緻な脅威バウンティ開発者たち Kaan Yeniyol, 、、 、および Nattatorn Chuensangarunによる最新のIcedIDボットネットオペレーターによるキャンペーンをカバーするSigmaルールを集約しています。 

すべての検出コンテンツは25以上のSIEM、EDR、BDP、およびXDRソリューションと互換性があり、 MITRE ATT&CK®フレームワーク v12に対応し、防御回避および実行の戦術、およびそれに対応するシステムバイナリプロキシ実行（T1218）とコマンドおよびスクリプトインタープリタ（T1059）技術にも対応しています。

参加しよう 脅威バウンティプログラム は、検出エンジニアリングスキルを磨きながら、独自の検出コンテンツを収益化し、将来の履歴書をコード化します。世界最大の脅威検出マーケットプレイスに公開され、世界中の8,000の組織によって探求され、あなたのSigmaルールは新たな脅威を検出して世界をより安全な場所にしながら、継続的な財政的利益をもたらすことができます。

これまでに、SOC Primeプラットフォームは、IcedIDマルウェアに関連付けられたツールと攻撃技術を検出するさまざまなSigmaルールを集約しています。「 検出を探索する 」ボタンを押して、ATT＆CK参照、脅威インテリジェンスリンク、および他の関連するメタデータが付随する最新の検出アルゴリズムを確認してください。

検出を探索する

IcedIDボットネットの配布：悪意のある広告攻撃の分析

IcedIDボットネット は2017年以来、サイバー脅威の舞台で脚光を浴び続けており、そのバリアントの進化と洗練性のために組織にとって重大なリスクをもたらしています。IcedIDは、 Cobalt Strike や他の悪意のあるストレインを含む他のペイロードを配信することができます。

以前はBankBotまたはBokBotとしても知られるバンキングトロイの木馬として使用されており、金融データや銀行認証情報を盗むために設計されていたマルウェアは、 より高度なペイロード へと進化し、2022年4月にはMicrosoft Exchangeサーバーの侵害を目的としたメールハイジャックを活用しました。同じ月に、IcedIDマルウェアはウクライナの国家機関を標的とするサイバー攻撃でも活用されました。 対応するCERT-UAアラートによれば。

最新の敵対者キャンペーンでIcedIDボットネットを広める流れでは、 Trend Microのサイバーセキュリティ研究者 がマルウェア配布方法における顕著な変更を発見しました。攻撃者は、選択された検索エンジンキーワードを乗っ取ってマルウェアのダウンロードを狙う悪意のある広告を表示する誘導手段として悪意のある広告技術を適用しています。進行中の悪意のある広告攻撃では、攻撃者はGoogle検索エンジンを介して広告された製品やサービスを広範なターゲットオーディエンスに表示するビジネスを可能にする人気のあるGoogleペイパークリック(PPC)広告を活用しています。IcedIDディストリビューターは、正規の企業や広く使用されているアプリケーションのクローンウェブページを利用して、Google PPC広告ユーザーを誘導しています。 

特に2022年12月21日、連邦捜査局(FBI)が 公式発表 を発行し、ブランドを模倣した検索エンジン広告を通じてログイン認証情報や他の金融データを盗む攻撃者による悪意のある広告キャンペーンの増加についてのサイバー防衛者に警告しました。

Trend Microの研究によれば、IcedIDディストリビューターは、Adobe、Discord、Fortinet、Slack、Teamviewerなどの人気ブランドやアプリケーションの検索エンジンキーワードを乗っ取って悪意のある広告を表示します。感染チェーンは、ローダーの配布から始まり、その後ボットコアの取得が行われ、最終的には悪意のあるペイロードの配信へと続きます。最新のIcedID配布キャンペーンでは、ローダーはMSIファイルを使用してドロップされ、IcedIDボットネットを広める他の攻撃では一般的でない方法です。 

悪意のある広告攻撃のリスクを最小限に抑えるために取ることができる潜在的な緩和策として、サイバー防衛者は広告ブロッカーの適用、ドメイン保護サービスの活用、および詐欺的なウェブサイトの使用に関連するリスクについてのサイバーセキュリティ意識を高めることを推奨します。 

増え続ける悪意のある広告攻撃を阻止するために、サイバー防衛者は組織の環境中にマルウェアが存在するかどうかを適時に特定するためのプロアクティブなサイバーセキュリティアプローチを採用するべきです。「 悪意のある広告攻撃検出 」のためのユニークなSigmaルールへの即時アクセスを得て、ATT＆CKやCTI参照、実行可能なバイナリ、緩和策、そして効率的な脅威研究のためのさらなる実用的なメタデータを探索してください。