IcedID 봇넷 감지: Google 유료 클릭(PPC) 광고를 악용한 악성 광고 공격
목차:
2022년 12월 말, 사이버 보안 연구자들은 주목할 만한 새로운 악성 활동의 분출을 관찰했습니다. IcedID 봇넷. 현재 진행 중인 이 공격 캠페인에서, 위협 행위자들은 Google 클릭당 지불(PPC) 광고를 악용하여 TrojanSpy.Win64.ICEDID.SMYXCLGZ로 추적되는 새로운 변종의 멀웨어를 유포합니다.
멀버타이징을 통한 IcedID 봇넷 감염 탐지
IcedID 봇넷은 지속적으로 발전하고 있으며, 악성 도구 집합에 새로운 기법을 추가하고 있기 때문에, 보안 전문가들은 잠재적인 공격을 사전에 식별하기 위한 신뢰할 수 있는 탐지 콘텐츠 소스를 필요로 합니다. 진화하는 위협에 잘 대비할 수 있도록 SOC 프라임의 Detection as Code 플랫폼은 Kaan Yeniyol, Emir Erdogan, 그리고 Nattatorn Chuensangarun 같은 세심한 Threat Bounty 개발자들이 만든 Sigma 룰 세트를 집계하여 Kaan Yeniyol, Emir Erdogan, 그리고 Nattatorn Chuensangarun 이 IcedID 봇넷 운영자들의 최신 캠페인을 커버합니다.
모든 탐지 콘텐츠는 25개 이상의 SIEM, EDR, BDP, XDR 솔루션과 호환되며 MITRE ATT&CK® 프레임워크 v12에 매핑되어 방어 회피 및 실행 전술, 그리고 해당 시스템 이진 프록시 실행(T1218) 및 명령과 스크립트 인터프리터(T1059) 기술을 다룹니다.
우리의 Threat Bounty Program 에 참여하여 귀하의 독점 탐지 콘텐츠를 통해 미래 이력서에 코딩하고 탐지 엔지니어링 기술을 연마하면서 수익을 창출하십시오. 세계 최대의 위협 탐지 마켓플레이스에 공개되고 전 세계 8,000개 조직에서 탐색되는 귀하의 Sigma 룰은 신흥 위협을 감지하고 세계를 더 안전한 곳으로 만드는 데 도움을 주면서 반복적인 재정적 이익을 제공합니다.
현재까지 SOC 프라임 플랫폼은 IcedID 멀웨어와 관련된 도구 및 공격 기술을 탐지하는 다양한 Sigma 룰을 집계하고 있습니다. 최신 탐지 알고리즘을 대응 ATT&CK 레퍼런스, 위협 인텔리전스 링크 및 기타 관련 메타데이터와 함께 확인하려면 탐지 탐색 버튼을 클릭하십시오.
IcedID 봇넷 유포: 멀버타이징 공격 분석
IceID 봇넷 은 2017년부터 사이버 위협 무대에서 주목을 받아왔으며, 그 변종의 지속적인 진화와 정교함으로 인해 조직에 상당한 위험을 불러일으켰습니다. IcedID는 기타 페이로드, 예를 들어 Cobalt Strike 와 같은 악성 변종을 전달할 수 있습니다.
이전에는 BankBot 또는 BokBot으로 알려진 뱅킹 트로이 목마로 사용되었으며, 금융 데이터와 은행 자격 증명을 훔치기 위해 설계된 이 멀웨어는 더 첨단화된 페이로드로 진화하여 2022년 4월에 Microsoft Exchange 서버를 손상시키기 위해 이메일 하이재킹을 활용했습니다. 같은 달, IcedID 멀웨어는 CERT-UA의 관련 경보에 따르면 우크라이나 국가 기관을 대상으로 한 사이버 공격에서도 사용되었습니다. CERT-UA의 관련 경보.
IceID 봇넷을 확산시키는 최신 공격 캠페인에서, 트렌드 마이크로의 사이버 보안 연구자들 은 멀웨어 유포 방법의 놀라운 변화를 밝혀냈습니다. 위협 행위자들은 선택된 검색 엔진 키워드를 하이재킹하여 유혹으로 사용되는 악성 광고를 보여주는 멀버타이징 기법을 적용합니다. 진행 중인 멀버타이징 공격에서, 적들은 Google 검색 엔진을 통해 검색하는 광범위한 타겟 사용자에게 광고된 제품 또는 서비스를 표시할 수 있는 인기 있는 Google 클릭당 지불(PPC) 광고를 활용합니다. IceID 유포자들은 합법적인 회사 또는 널리 사용되는 응용 프로그램의 복제 웹페이지를 활용하여 Google PPC Ads 사용자를 유혹하여 멀웨어를 유포합니다.
특히 2022년 12월 21일, 미 연방수사국(FBI)은 공식 발표 를 통해 브랜드를 사칭하여 로그인 자격 증명 및 기타 금융 데이터를 훔치기 위해 검색 엔진 광고를 통해 공격하는 멀버타이징 캠페인의 증가에 대해 사이버 방어자들에게 경고했습니다.
트렌드 마이크로 연구에 따르면, IceID 유포자들은 Adobe, Discord, Fortinet, Slack, TeamViewer 등 인기 있는 브랜드와 응용 프로그램에 의해 적용된 검색 엔진 키워드를 하이재킹하여 악성 광고를 보여줍니다. 감염 체인은 로더의 유포로 시작되어 봇 코어를 가져온 다음 악성 페이로드를 전달하는 순서로 진행됩니다. 최신 IcedID 유포 캠페인에서는 IcedID 봇넷을 확산시키는 다른 공격에는 드물게 MSI 파일을 사용하여 로더가 드롭됩니다.
멀버타이징 공격의 위험을 최소화하기 위해 취할 수 있는 잠재적 완화 조치로는, 사이버 방어자들이 광고 차단기를 적용하고, 도메인 보호 서비스를 활용하며, 스푸핑된 웹사이트 사용과 관련된 위험에 대한 사이버 보안 인식을 높일 것을 권장합니다.
증가하는 멀버타이징 공격을 저지하기 위해, 사이버 방어자들은 조직 환경 내 멀웨어 존재를 제때에 식별하기 위한 사전 예방적 사이버 보안 접근 방식을 채택해야 합니다. 멀버타이징 공격 탐지 를 위한 고유한 Sigma 룰에 즉시 액세스하고, ATT&CK 및 CTI 참조, 실행 가능한 바이너리, 완화 조치 등 스트림라인된 위협 연구를 위한 보다 실용적인 메타데이터와 같은 관련 사이버 위협 컨텍스트를 탐색하십시오.
