IcedID Malware Hijacks Email Threads Delivering Unseen Payload

最新の脅威

4月 01, 2022

6 分で読めます

IcedID Malware Hijacks Email Threads Delivering Unseen Payload

Karolina Koval
Karolina Koval linkedin icon フォローする

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
目次

週刊ダイジェストを購読

SOC Prime ユーザー限定

Newsletter Icon

急激な活動の増加が IcedIDのメール乗っ取り によってセキュリティ 研究者によって特定されました. IcedID、別名BokBot は活動を続けており 2017年からです。漸進的な進化により、このマルウェアは通常のバンキングトロイの木馬から、進行中のメール会話を乗っ取り、危険なコードを侵害されたMicrosoft Exchangeサーバーのネットワークを通じて注入する高度なペイロードに進化しました。

以前はWord文書のマクロを使用していましたが、攻撃者はそれをISOに置き換え、Windows LNKとDLLファイルを含み、これらが実行されると検知を回避し、被害者が気づかないうちに静かに動作します。最も頻繁にターゲットとなる地域は、法務、ヘルスケア、製薬、エネルギー業界を含みます。主要な目的は初期アクセスを得ることであり、それが他の対抗者に売却されています。

IcedIDマルウェア検知

最新の Sigmaベースの検出ルールは、IcedIDの防御回避の活動を検出するために、私たちのThreat Bounty開発者 Osman Demirによって書かれています。コードと関連するサイバー脅威情報にアクセスするために、SOC Primeアカウントにログインするか、プラットフォームにサインアップしてください:

疑わしいIcedID(Bokbot)の防御回避 – DLL実行によるregsvr32.exe(via process_creation)

この検出アイテムは次のSIEM、EDR&XDRフォーマットに翻訳されています:Microsoft Sentinel、Chronicle Security、Elastic Stack、Splunk、LimaCharlie、Sumo Logic、ArcSight、QRadar、Humio、Microsoft Defender for Endpoint、CrowdStrike、Devo、FireEye、Carbon Black、LogPoint、Graylog、Regex Grep、Microsoft PowerShell、RSA NetWitness、Apache Kafka ksqlDB、Securonix、AWS OpenSearch。

このルールは最新のMITRE ATT&CK®フレームワークv.10に準拠し、防御回避戦術および署名済みバイナリプロキシ実行(T1218)技術に対応します。

IcedIDは2017年にIBMによって初めて文書化され、それ以来、対抗者は技術とマルウェアの改良を続けています。SOC PrimeのDetection as Codeプラットフォームで利用可能な検出アルゴリズムの包括的なリストを確認し、複雑なサイバー脅威から継続してインフラを保護できます。そして、この分野に精通している方は、私たちのプラットフォームでコンテンツを公開し、サイバー世界をより安全な場所にするために金銭的な報酬を得ることができます。

検出を表示 Threat Bountyに参加

IcedIDペイロード の配信は、フィッシングメールから始まります。このメッセージは、ユーザーにアタッチされたZIPアーカイブをダウンロードして解凍するよう促し、メッセージの本文で提供されるパスコードで保護されています。前述したように、このメールは進行中の会話スレッドへの返信として届き、正当な送信者のアドレスを持っています。しかし、実際には、これは侵害されたMicrosoft Exchangeサーバーからの偽のメッセージです。

悪意のあるZIPアーカイブの内容物には、単一のISOファイルが含まれており、それに続いて2つのファイルがあります:DLLとLNK。タイムコードによると、DLLファイルは通常LNKより新しいため、研究者はLNKファイルがいくつかのフィッシングメールに使用される可能性があると提案しています。DLLには、ドキュメントのように見せるための埋め込みアイコンが付いています。それをクリックすると、 IcedIDローダー が実行を開始し、メイン IcedIDペイロード.

をダウンロードします。APIハッシング関数を逆コンパイルすることで、ローダーはペイロードを特定し、それを復号し、デバイスのメモリに配置して実行します。その後、 IcedID GZipローダー がC&C(Command and Control)サーバーにリクエストを送り、レスポンスを取得できます。

IcedIDキャンペーン は2022年3月に技術的洗練を新たなレベルに引き上げ、一般的なパッカーと複数のステージを利用して IcedID情報盗難マルウェアの活動を偽装しました。協力防御の力を活用し、 SOC PrimeのDetection as Codeプラットフォーム に参加して最新の検出情報への即時アクセスを解除しましょう。

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。
無料で参加 ミーティングを予約

More 最新の脅威 Articles

XE グループ活動の検出: クレジットカードスキミングから CVE-2024-57968 および CVE-2025-25181 VeraCore ゼロデイ脆弱性の悪用まで 6 分で読めます 最新の脅威 XE グループ活動の検出: クレジットカードスキミングから CVE-2024-57968 および CVE-2025-25181 VeraCore ゼロデイ脆弱性の悪用まで by Veronika Telychko CVE-2025-0411 検出: ロシアのサイバー犯罪グループ、ゼロデイ脆弱性を利用してウクライナ組織を標的に 8 分で読めます 最新の脅威 CVE-2025-0411 検出: ロシアのサイバー犯罪グループ、ゼロデイ脆弱性を利用してウクライナ組織を標的に by Veronika Telychko Lumma Stealer 検出: GitHub インフラを使用して SectopRAT、Vidar、Cobeacon およびその他のマルウェアを拡散する洗練されたキャンペーン 7 分で読めます 最新の脅威 Lumma Stealer 検出: GitHub インフラを使用して SectopRAT、Vidar、Cobeacon およびその他のマルウェアを拡散する洗練されたキャンペーン by Veronika Telychko