TA551 Hackers Spread IcedID Trojan in a New Wave of Malspam Campaign

2020年7月から、セキュリティ研究者たちはTA551（別名Shathak）のマルスパムルーチンに実施された顕著な変化を観察しています。TA551キャンペーンの背後にいる脅威アクターたちは、UrsnifとValakの配布からIcedIDバンキングトロイの木馬感染へと切り替えました。

TA551の概要

TA551は、2019年2月に登場した長寿命のマルスパムキャンペーンです。最初は、英語を話す犠牲者にUrsnif（Gozi/Gozi-ISFB）バンキングトロイの木馬を配信することに焦点を当てていました。しかし、2019年末までに研究者たちはValakやIcedIDがセカンドステージマルウェアとして定期的に取得されることを観察しました。2019年を通じて、対象者はドイツ語、イタリア語、日本語を話す犠牲者に拡大しました。2020年にTA551はUrsnifを放棄し、Valakロードに焦点を当てました。TA551は2020年7月までValakを独占的に推進し、ZLoader（Terdot、DELoader）マルウェアがまれにドロップされました。最終的に、2020年第2四半期にTA551はIcedIDバンキングトロイの木馬の伝播に切り替えました。

TA551の悪意あるルーチンは、ルアーとして使用される偽装されたメールチェーンに依存しています。これらのメールチェーンは、以前に侵害されたWindowsホストから取得され、元の受信者に送信されます。マルスパムメールは、添付されたパスワード保護ZIPアーカイブを抽出するよう犠牲者に促す説得力のあるテキストを表示します。犠牲者がだまされると、アーカイブからマクロが仕掛けられたWordファイルが表示されます。マクロを有効にすると、DLLインストーラーが侵害されたPCにドロップされ、その後最終的な悪意のあるペイロードをダウンロードします。

ValakからIcedIDへの切り替え

2020年7月中旬から セキュリティ研究者は TA551のマルスパムキャンペーンがIcedIDバンキングトロイの木馬を独占的に配布していることを確認しました。最初の感染の波は英語ユーザーのみに向けられていました。その後、2020年10月27日にTA551オペレーターは日本語のWordドキュメントテンプレートに切り替え、3週間以上にわたり日本のユーザーを継続的にターゲットにしました。2020年11月には、再び英語圏の対象者に焦点を戻しました。注目すべきは、IcedIDマルウェアがUrsnifやValakによって後続ペイロードとして頻繁に配信されていたことです。そして2020年第2四半期にのみ、TA551のハッカーたちはIcedIDをファーストステージペイロードとして集中することを決定しました。

IcedIDマルウェアとは？

IcedID（別名BokBot）はモジュール式のバンキングトロイの木馬であり、 特定のマシンからバンキングデータおよび認証情報を盗み出すために設計されています。2017年に最初に検出され、IcedIDは to steal banking data and credentials from targeted machines. First detected in 2017, IcedID was 主に米国の銀行プロバイダーおよび通信ベンダーに焦点を当てていました。当初、このトロイの木馬はEmotetによって配信されていましたが、新しい配布パターンが時間とともに得られました。主要な感染方法は変わらず、マルスパムにマクロを仕掛けたWordファイルを含むものです。 on the U.S.banking providers and telecommunication vendors. Initially, the Trojan was delivered by Emotet, yet the new distribution patterns were acquired in time. The main infection method remains the same, being a malspam containing macro-laced Word files.

IcedIDの情報を盗むトロイの木馬は、洗練された回避機能を伴う幅広い悪意のある能力を持っています。このトロイの木馬はステガノグラフィー技法を用いてその設定を隠し、同時にアンチVMおよびアンチデバッグ機能を適用します。感染し、持続力を獲得すると、マルウェアは侵害されたネットワーク内を伝播し、PC上のすべての活動を監視し、ブラウザ内攻撃を実行します。この攻撃は、ウェブインジェクション、プロキシ設定、およびリダイレクトを含む3つの段階を経て行われます。このアプローチは社会工学を通じて被害者をだまし、彼らの銀行詳細を盗み、多要素認証を回避しながら銀行口座にアクセスすることを可能にします。

TA551の検出

TA551のマルスパムキャンペーンに対するプロアクティブな防御能力を強化するためには、 Joseph Kamau が発表した無料のSigmaルールをThreat Detection Marketplaceからダウンロードしてください：

https://tdm.socprime.com/tdm/info/Ae4eIgnZWl77/zpiHFXcBR-lx4sDxDOul/

このルールは以下のプラットフォームに翻訳されています：

SIEM: Azure Sentinel、ArcSight、QRadar、Splunk、Graylog、Sumo Logic、ELK Stack、LogPoint、Humio、RSA NetWitness

EDR: Microsoft Defender ATP、Carbon Black

MITRE ATT&CK:

戦術: 実行、ディフェンス回避

技術: 署名付きバイナリプロキシの実行 (T1218)

無料サブスクリプションを取得 して、より多くのキュレーションされたSOCコンテンツにアクセスしましょう 大部分の SIEM、EDR、NTDR、SOARプラットフォームと互換性があります。 脅威ハンティング活動に貢献したい方へ? 私たちのThreat Bountyプログラムに参加し て、自分のSigmaルールをSOC Primeコミュニティと共有しましょう。