IcedID가 혁신적인 배포 방법을 이용하여 감염률을 대폭 증가시키다
목차:
Check Point Research의 2021년 3월 글로벌 위협 지수 발표합니다 IcedID 뱅킹 트로잔 운영자들이 본격적으로 등장하고 있음을 보여줍니다. IcedID는 처음으로 지수에 포함되었으며, 악명 높은 Dridex의 바로 뒤를 이어 2위를 차지했습니다. 감염 급증과 명성은 IcedID 운영자들이 적용하는 혁신적인 전달 방법 덕분에 새로운 높이를 달성한 것으로 설명됩니다. 보안 전문가들은 이러한 급속한 용량 증가는 최근 방해된 Emotet 봇넷을 악성의 무대에서 대체하려는 의도에 의해 이뤄진 것으로 보고 있습니다.
IcedID 뱅킹 트로잔
IcedID (일명 BokBot)은 금융 데이터를 훔치고 2차 단계 악성 소프트웨어 샘플을 드롭하기 위한 모듈형 뱅킹 트로잔입니다. 2017년 9월 처음 등장한 이후, 이 악성 소프트웨어는 은행, 결제 카드 제공업체, 통신 벤더, 미국 전역의 전자 상거래 사이트를 목표로 한 다수의 악성 캠페인에 사용되었습니다. 초기에 IcedID 트로잔은 Emotet에 의해 전달되었지만, 새로운 전달 방법이 시간에 따라 획득되었습니다.
IcedID 정보 도둑은 온라인 뱅킹 세션의 로그인 자격 증명을 덤프하고, 은행 계정을 인수하며, 사기 거래를 자동화하는 등 광범위한 악성 기능을 가지고 있습니다. 특히 감염되면, 악성 소프트웨어는 손상된 네트워크를 통해 확산되며, PC의 모든 활동을 모니터링하고 브라우저 내 공격(man-in-the-browser)을 수행합니다. 이러한 공격은 웹 주입, 프록시 설정, 리다이렉션을 포함한 세 단계를 따릅니다. 이 방법은 IcedID가 사회 공학을 통해 피해자를 속일 수 있게 하고, 다단계 인증을 우회하면서 은행 계정에 액세스할 수 있게 합니다. 악성 행동을 수행하는 동안 감지되지 않기 위해, IcedID는 스테가노그래피 기술을 사용하여 설정을 숨기며 동시에 안티-VM 및 안티-디버깅 기능을 적용합니다.
특히, 데이터 탈취 기능을 수행하는 것 외에도, 악성 소프트웨어는 2차 단계 드로퍼로 점차 사용되고 있습니다. 보안 전문가들은 이 위협이 몰웨어-서비스(MaaS) 모델로 나아가고 있다고 믿고 있으며, 이미 IcedID 캠페인에서 다양한 랜섬웨어가 전송되고 있습니다.
새로운 전달 방법
2021년 1월 Emotet 봇넷이 해제된 이후, IcedID 관리자는 감염률을 높이기 위해 전달 방법을 다양화하기 시작했습니다. 지난달, Uptycs의 보안 연구원들은 새로운 IcedID 캠페인 이 Excel 4.0 매크로 수식의 xlsm 지원을 악용하는 것을 발견했습니다. 특히, 적들은 이 기능을 이용해 임의의 코드를 포함하고 URL을 통해 악성 실행 파일을 다운로드합니다. 지난 3개월 동안, Uptycs 전문가들은 Microsoft Excel 스프레드시트에 확장자를 가진 15K 이상의 HTTP 요청을 탐지했습니다.
또한, 2021년 4월에 Microsoft는 IcedID 트로잔의 더욱 독특한 전달 방법을 공개했습니다. 최신 캠페인에서 악성 소프트웨어 운영자는 다양한 규모의 비즈니스를 대상으로 웹사이트 문의 양식을 활용했습니다. 공격자들은 이러한 양식을 악용하여 위조된 이메일을 보내면서 법적 위협에 관한 메시지를 보냈습니다. 특히, 이메일은 저작권 침해에 대해 알리며 구글 페이지로 연결되는 악성 URL을 포함하고 있었습니다. 사용자가 이 링크를 따라가게 되면, 페이지는 심하게 난독 처리된 JS 파일이 들어있는 악성 ZIP 아카이브를 다운로드했습니다. 파일을 추출하면, JS 파일은 WScript를 통해 실행되어 최종 IcedID 페이로드를 다운로드합니다. an even more unusual delivery method for IcedID Trojan. In the latest campaign, the malware operators leveraged website contact forms to target businesses of various sizes. Attackers misused these forms to send forged emails messaging about an alleged legal threat. Particularly, the email informed about a copyright infringement and contained a malicious URL leading to a Google page. In case a user was tricked to follow this link, the page downloaded a malicious ZIP archive with a heavily obfuscated JS file inside. Upon extraction, the JS file was executed via WScript to download the final IcedID payload.
IcedID 탐지
악명 높은 IcedID 트로잔의 혁신적인 감염 방법에 앞서기 위해, 우리의 수상 경력이 있는 Threat Bounty 개발자 Osman Demir.
Malspam 캠페인이 IcedID를 드롭하고 REvil 랜섬웨어로 이어짐
또한, 확인할 수 있습니다 IcedID 탐지의 전체 목록 Threat Detection Marketplace에서 확인할 수 있습니다.
사이버 방어 역량을 강화하고 공격 탐지 시간 단축을 위해 우리의 Detection as Code 플랫폼을 무료로 구독하세요. 업계 최초의 SOC 콘텐츠 라이브러리는 CVE 및 MITRE ATT&CK® 프레임워크에 매핑된 100K+ 규칙, 파서 및 검색 쿼리를 집계합니다. 300명 이상의 기여자가 매일 라이브러리를 강화하여 가장 경고적인 사이버 위협을 지속적으로 탐지할 수 있도록 합니다. 위협 사냥 이니셔티브에 기여하고 Sigma 규칙을 작성하고 싶으신가요? Threat Bounty Program에 참여하세요!