IcedIDが革新的な配信手法を活用し、感染率を大幅に増加させる

Check Point Researchの2021年3月のグローバル脅威指数 は明らかにしています IcedIDバンキングトロイの木馬の運用者が大規模なゲームに参入していることを。先月、IcedIDは初めてインデックスに含まれ、悪名高いDridexの直後に2位に立ちました。感染の急増と悪名は、IcedIDの運用者が適用する革新的な配信方法によって説明され、新たな高みを達成しています。セキュリティ専門家は、このような急速な能力構築は、最近妨害されたEmotetボットネットを悪意のある舞台で置き換えようとする意図から駆動されていると考えています。

IcedIDバンキングトロイの木馬

IcedID (別名BokBot)は、金融データを盗み、第2段階マルウェアのサンプルを落とすことができるモジュラーバンキングトロイの木馬です。2017年9月に初めて登場して以来、このマルウェアは米国全体の銀行、決済カード提供者、通信ベンダー、eコマースサイトを標的にした複数の悪意のあるキャンペーンで使用されています。当初、IcedIDトロイの木馬はEmotetによって提供されていましたが、新しい配信方法が時間とともに取得されました。

IcedID情報スティーラーは広範な悪意のある機能を備えており、その運用者はオンラインバンキングセッションのログイン資格情報をダンプし、銀行口座を乗っ取り、不正な取引を自動化することができます。特に、感染後、このマルウェアは妥協されたネットワークを介して拡散し、PC上のすべての活動を監視し、ブラウザ内攻撃を行います。このような攻撃は、ウェブ注入、プロキシ設定、リダイレクションを含む3段階を経ます。このアプローチにより、IcedIDは社会工学を通じて被害者を騙し、多要素認証を回避して銀行口座にアクセスすることができます。悪意のある行動を実行しながら、注意を引かないようにするために、IcedIDはその構成をステガノグラフィ技術を使って隠し、同時にアンチVMおよびアンチデバッギングの機能を適用しています。

特に、データを盗む機能を実行することに加えて、このマルウェアは第2段階ドロッパーとしてますます使用されています。セキュリティ専門家は、この脅威がマルウェアアズサービス（MaaS）モデルに向かっていると考えており、さまざまなランサムウェアがすでにIcedIDキャンペーンで配信されています。

新しい配信方法

2021年1月のEmotetボットネットの破壊後、IcedIDのメンテナンス担当者は感染率を上げるために配信方法を多様化し始めました。先月、Uptycsのセキュリティ研究者たちは 特定しました xlsmサポートを悪用してスプレッドシートセル内のExcel 4.0マクロの式を利用した新しいIcedIDキャンペーン。具体的には、敵対者はこの機能を活用して任意のコードを埋め込み、URLを介して悪意のある実行可能ファイルをダウンロードします。過去3カ月間、Uptycsの専門家は、拡張子を持つMicrosoft Excelスプレッドシートの大部分を含む15K+の悪意のあるドキュメント用にHTTPリクエストを検出しました。

さらに、2021年4月、Microsoftは 明らかにしました IcedIDトロイの木馬のさらなる異例な配信方法を。最新のキャンペーンでは、マルウェアの運用者はウェブサイトのコンタクトフォームを利用してさまざまな規模の企業を標的にしました。攻撃者はこれらのフォームを悪用して、財布訴訟の主張について偽のメールを送りました。特に、そのメールは著作権侵害についての通知をし、Googleページへの悪意のあるURLを含んでいました。ユーザーがこのリンクを誤ってたどった場合、そのページは難解化されたJSファイルを内部に含む悪意のあるZIPアーカイブをダウンロードしました。抽出後、JSファイルはWScriptを介して実行され、最終的なIcedIDペイロードをダウンロードしました。

IcedIDの検出

IcedIDトロイの木馬の革新的な感染方法の先を行くために、私たちの多作な信頼のある脅威賞金デベロッパー Osman DemirがリリースしたSigmaルールをダウンロードできます.

IcedID（BokBot）from Zipped JS File

Excel 4マクロがスパイスされていることが確認されたIcedIDキャンペーン

マルスパムキャンペーンがIcedIDをドロップし、REvilランサムウェアに導く

また、IcedIDの全リストを確認できます Threat Detection Marketplaceで利用可能なIcedID検出の完全なリスト 攻撃検出の平均時間を短縮し、サイバー防御能力を高めるために、私たちのDetection as Codeプラットフォームの無料サブスクリプションを入手してください。業界初のSOCコンテンツライブラリは、CVEおよびMITRE ATT&CK®フレームワークにマッピングされた100K+のルール、パーサー、検索クエリを集約しています。300人以上の貢献者が毎日ライブラリを豊かにし、最も驚くべきサイバー脅威の継続的な検出を可能にしています。脅威狩りのイニシアチブに貢献し、自分のSigmaルールを作りたいですか？私たちのThreat Bounty Programに参加してください！

Get a free subscription to our Detection as Code platform to boost your cyber defense capabilities and reduce the meantime for attack detection. Our industry-first SOC content library aggregates 100K+ rules,  parsers,  and search queries mapped to CVE and MITRE ATT&CK® frameworks. Over 300 contributors enrich the library each day to enable continuous detection of the most alarming cyber threats. Eager to contribute to the threat hunting initiatives and craft your own Sigma rules? Join our Threat Bounty Program!

プラットフォームに移動 Threat Bountyに参加