IcedID Malware Hijacks Email Threads Delivering Unseen Payload

[post-views]
4月 01, 2022 · 6 分で読めます
IcedID Malware Hijacks Email Threads Delivering Unseen Payload

急激な活動の増加が IcedIDのメール乗っ取り によってセキュリティ 研究者によって特定されました. IcedID、別名BokBot は活動を続けており 2017年からです。漸進的な進化により、このマルウェアは通常のバンキングトロイの木馬から、進行中のメール会話を乗っ取り、危険なコードを侵害されたMicrosoft Exchangeサーバーのネットワークを通じて注入する高度なペイロードに進化しました。

以前はWord文書のマクロを使用していましたが、攻撃者はそれをISOに置き換え、Windows LNKとDLLファイルを含み、これらが実行されると検知を回避し、被害者が気づかないうちに静かに動作します。最も頻繁にターゲットとなる地域は、法務、ヘルスケア、製薬、エネルギー業界を含みます。主要な目的は初期アクセスを得ることであり、それが他の対抗者に売却されています。

IcedIDマルウェア検知

最新の Sigmaベースの検出ルールは、IcedIDの防御回避の活動を検出するために、私たちのThreat Bounty開発者 Osman Demirによって書かれています。コードと関連するサイバー脅威情報にアクセスするために、SOC Primeアカウントにログインするか、プラットフォームにサインアップしてください:

疑わしいIcedID(Bokbot)の防御回避 – DLL実行によるregsvr32.exe(via process_creation)

この検出アイテムは次のSIEM、EDR&XDRフォーマットに翻訳されています:Microsoft Sentinel、Chronicle Security、Elastic Stack、Splunk、LimaCharlie、Sumo Logic、ArcSight、QRadar、Humio、Microsoft Defender for Endpoint、CrowdStrike、Devo、FireEye、Carbon Black、LogPoint、Graylog、Regex Grep、Microsoft PowerShell、RSA NetWitness、Apache Kafka ksqlDB、Securonix、AWS OpenSearch。

このルールは最新のMITRE ATT&CK®フレームワークv.10に準拠し、防御回避戦術および署名済みバイナリプロキシ実行(T1218)技術に対応します。

IcedIDは2017年にIBMによって初めて文書化され、それ以来、対抗者は技術とマルウェアの改良を続けています。SOC PrimeのDetection as Codeプラットフォームで利用可能な検出アルゴリズムの包括的なリストを確認し、複雑なサイバー脅威から継続してインフラを保護できます。そして、この分野に精通している方は、私たちのプラットフォームでコンテンツを公開し、サイバー世界をより安全な場所にするために金銭的な報酬を得ることができます。

検出を表示 Threat Bountyに参加

IcedIDペイロード の配信は、フィッシングメールから始まります。このメッセージは、ユーザーにアタッチされたZIPアーカイブをダウンロードして解凍するよう促し、メッセージの本文で提供されるパスコードで保護されています。前述したように、このメールは進行中の会話スレッドへの返信として届き、正当な送信者のアドレスを持っています。しかし、実際には、これは侵害されたMicrosoft Exchangeサーバーからの偽のメッセージです。

悪意のあるZIPアーカイブの内容物には、単一のISOファイルが含まれており、それに続いて2つのファイルがあります:DLLとLNK。タイムコードによると、DLLファイルは通常LNKより新しいため、研究者はLNKファイルがいくつかのフィッシングメールに使用される可能性があると提案しています。DLLには、ドキュメントのように見せるための埋め込みアイコンが付いています。それをクリックすると、 IcedIDローダー が実行を開始し、メイン IcedIDペイロード.

をダウンロードします。APIハッシング関数を逆コンパイルすることで、ローダーはペイロードを特定し、それを復号し、デバイスのメモリに配置して実行します。その後、 IcedID GZipローダー がC&C(Command and Control)サーバーにリクエストを送り、レスポンスを取得できます。

IcedIDキャンペーン は2022年3月に技術的洗練を新たなレベルに引き上げ、一般的なパッカーと複数のステージを利用して IcedID情報盗難マルウェアの活動を偽装しました。協力防御の力を活用し、 SOC PrimeのDetection as Codeプラットフォーム に参加して最新の検出情報への即時アクセスを解除しましょう。

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

APIを通じたUncoder AI機能へのアクセス 2 分で読めます SOCプライムプラットフォーム APIを通じたUncoder AI機能へのアクセス by Steven Edwards Uncoder AIの脅威検出マーケットプレイスを検索する 3 分で読めます SOCプライムプラットフォーム Uncoder AIの脅威検出マーケットプレイスを検索する by Steven Edwards Sigmaから48の言語に翻訳する 3 分で読めます SOCプライムプラットフォーム Sigmaから48の言語に翻訳する by Steven Edwards
すべてのニュース