IcedID 악성코드, 이메일 스레드 가로채기 및 보이지 않는 페이로드 전달
활동의 갑작스런 급증 IcedID 이메일 하이재킹 안전 연구자에 의해 확인되었습니다. 연구자. IcedID, 일명 BokBot 2017년부터 운영되고 있습니다. 2017년부터. 점진적인 진화가 이 악성코드를 일반 은행 트로이 목마에서 진행 중인 이메일 대화를 하이재킹하고 손상된 Microsoft Exchange 서버 네트워크를 통해 악성 코드를 주입하는 정교한 페이로드로 변화시켰습니다.
이전에 사용된 Word 문서의 매크로는 공격자에 의해 ISO 파일로 대체되어 Windows LNK 및 DLL 파일이 포함되어 있고, 함께 실행될 때 탐지를 피하고 피해자가 인지하지 못하도록 조용히 실행됩니다. 가장 자주 표적이 되는 지역은 법률, 의료, 제약, 및 에너지 부문입니다. 주요 목표는 초기 접속을 확보하는 것이며, 이후 다른 적대 세력에게 판매됩니다.
IcedID 악성코드 탐지
최신 시그마– 기반 탐지 규칙은 IcedID 방어 회피 활동을 감지하기 위해 작성되었습니다. 이 규칙은 당사의 Threat Bounty 개발자인 Osman Demir에 의해 작성되었습니다. SOC Prime 계정에 로그인하거나 플랫폼에 가입하여 관련 사이버 위협 정보와 함께 코드를 액세스하십시오:
DLL 실행을 통한 regsvr32.exe에 의한 의심스러운 IcedID (Bokbot) 방어 회피 (via process_creation)
이 탐지 항목은 Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, CrowdStrike, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, AWS OpenSearch 등의 SIEM, EDR & XDR 형식으로 번역됩니다.
이 규칙은 최신 MITRE ATT&CK® 프레임워크 버전 10에 맞춰 조정되었으며, 방어 회피 전술과 서명된 바이너리 프록시 실행 (T1218) 기술을 다루고 있습니다.
IcedID는 IBM에 의해 2017년에 처음 문서화되었고, 그 이후로 적대 세력은 그들의 기술과 악성코드를 개선하고 있습니다. SOC Prime의 Detection as Code 플랫폼에서 사용할 수 있는 탐지 알고리즘의 포괄적인 목록을 확인하여 복잡한 사이버 위협으로부터 인프라를 지속적으로 보호하십시오. 이 분야에서 전문 지식을 보유하고 있다면, 우리 플랫폼에 콘텐츠를 게시하여 사이버 세계를 더 안전한 곳으로 만드는데 기여하고 금전적 보상을 받을 수 있습니다.
IcedID 페이로드 배달은 피싱 이메일로 시작됩니다. 메시지는 사용자가 메시지 본문에 제공된 패스코드로 보호된 첨부된 ZIP 아카이브를 다운로드하고 압축을 풀도록 요구합니다. 앞서 언급했듯이, 이 이메일은 진행 중인 대화 스레드에 대한 응답으로 오며, 합법적인 발신자의 주소를 가지고 있습니다. 하지만 실제로 이것은 손상된 Microsoft Exchange 서버에서 보낸 위조 메시지입니다.
악성 ZIP 아카이브의 내용물은 단일 ISO 파일을 포함하며, 각각 DLL과 LNK 파일 두 개를 포함하고 있습니다. 타임코드에 따르면, DLL 파일은 일반적으로 LNK보다 새로워서 연구자들은 LNK 파일이 몇몇 피싱 이메일에 사용될 수 있다고 제안합니다. DLL은 문서처럼 보이도록 하는 내장 아이콘과 함께 제공됩니다. 이를 클릭하면 IcedID 로더 가 실행을 시작하고 주요 IcedID 페이로드.
API 해싱 함수를 디컴파일하여 로더가 페이로드의 위치를 찾아 암호를 해독하고 장치의 메모리에 넣고 실행합니다. 그 후, IcedID GZip로더 는 명령 및 제어 (C&C) 서버에 요청을 보내고 응답을 받을 수 있습니다.
IcedID 캠페인 은 2022년 3월에 기술적인 정교함의 새로운 수준을 달성하여, 상용 패커와 여러 단계를 활용하여 IcedID 정보 탈취 악성코드의 활동을 위장합니다. 공동 방어의 힘을 받아들이고 SOC Prime의 Detection as Code 플랫폼 에 가입하여 최신 탐지를 즉시 이용하십시오.
