IcedID 탐지: 우크라이나 정부 기관을 겨냥한 최신 캠페인

4월 14일, 우크라이나 컴퓨터 긴급 대응 팀(USEC)은 새로운 공지를 발표했습니다 악명 높은 IcedID 악성코드를 활용한 지속적인 사이버 공격에 대해 경고했습니다. 탐지된 악성코드는 BankBot 혹은 BokBot으로도 불리며, 주로 금융 데이터를 겨냥하여 은행 자격 증명을 탈취하기 위해 설계된 트로이 목마입니다.

중간 수준의 확률로, IcedID 트로이 목마를 활용한 최근 사이버 공격에서 드러난 악성 활동은 UAC-0041이라는 그룹으로 추적되는 적대자 행동 패턴과 관련이 있습니다. 위에서 언급한 악성코드를 활용하는 것 외에도, 이 위협 행위자들은 이전에 우크라이나의 주요 인프라를 대상으로 한 사이버 공격에서 AgentTesla 및 XLoader 악성 변종을 사용한 것으로 알려져 있습니다.

IcedID를 사용하여 우크라이나 정부 시스템을 위험에 빠뜨리다: 공격 개요

IcedID 악성코드는 2017년에 처음 공표되었으며 미국과 캐나다의 은행들을 목표로 삼았습니다. 그 이후로 이 악성코드는 금융 기관, 통신사 및 전자 상거래 제공자를 포함한 전 세계의 조직을 대상으로 한 적대적 캠페인 세트에 사용되었습니다.

원래 IcedID 악성코드는 뱅킹 트로이 목마 및 정보 탈취자로 설계되어 있으며, 은행 자격 증명을 덤프하고 피해자의 금융 데이터에 접근하며 자동화된 악성 거래를 수행할 수 있습니다. 목표 네트워크에 착륙한 후, 악성코드는 장치의 활동을 모니터링하고 브라우저 내 공격을 시작합니다. 일반적으로 그러한 공격은 웹 인젝션, 프록시 구성, 리디렉션이라는 세 가지 단계로 구성됩니다. 이러한 악성 루틴을 따름으로써, IcedID는 사회 공학을 통해 피해자를 유혹하고 다단계 인증을 극복하며 은행 계좌에 접근할 수 있습니다. 데이터 탈취 기능 외에도, IcedID는 종종 2단계 악성코드 드로퍼로 사용됩니다. 특히, 최신 IcedID 캠페인은 악성 변종이 랜섬웨어 페이로드를 제공하는 데 광범위하게 활용되고 있음을 보여줍니다.

최근 우크라이나 정부 기관에 대한 사이버 공격에서 앞서 언급한 뱅킹 트로이 목마는 악성 매크로를 통해 배포되고 있으며 이는 IcedID 감염 체인의 로더 구성 요소를 실행할 수 있게 하여 목표 인프라를 위협에 빠뜨리고 있습니다.

IcedID 악성코드 탐지: 최신 UAC-0041 활동 식별을 위한 Sigma 기반 콘텐츠

새로 발견된 IcedID 공격을 탐지하기 위해, 보안 실무자들은 SOC 프라임의 플랫폼의 광범위한 탐지 스택 내에서 제공되는 정제된 Sigma 규칙 세트를 활용할 수 있습니다.

UAC-0041에 의해 수행된 IcedID 공격을 탐지하기 위한 Sigma 규칙

최신 UAC-0041 활동을 위한 가장 편리한 콘텐츠 검색을 보장하기 위해 모든 관련 탐지 결과는 적절히 #UAC-0041로 태그가 지정되어 있습니다. 위에서 언급한 탐지 알고리즘에 접근하기 위해 SOC 프라임의 탐지 코드 플랫폼에 등록되어 있는지 확인하십시오.

게다가, 보안 실무자들은 SOC 프라임의 Quick Hunt 모듈 을 통해 위에서 언급된 모든 탐지를 사용하여 클라우드 네이티브 환경에서 IcedID 관련 위협을 검색할 수 있습니다.

MITRE ATT&CK® 컨텍스트

이 블로그 기사에서는 악명 높은 IcedID 악성코드 배포와 관련된 최신 사이버 공격의 컨텍스트와 MITRE ATT&CK 프레임워크 및 적대자 TTPs에 기반하여 다루었습니다. 관련 컨텍스트를 제공하기 위해, 모든 전용 Sigma 기반 탐지 규칙은 관련된 전술 및 기술을 다루는 최신 ATT&CK 프레임워크 버전에 맞춰져 있습니다.