Detectando IcedID: A Última Campanha Contra Órgãos do Governo Ucraniano
Índice:
Em 14 de abril, o Centro de Resposta a Emergências de Computador da Ucrânia (CERT-UA) emitiu um novo alerta que avisa sobre um ataque cibernético em andamento que utiliza o infame malware IcedID projetado para comprometer órgãos estatais ucranianos. O malware detectado, também conhecido como BankBot ou BokBot, é um trojan bancário projetado principalmente para atingir dados financeiros e roubar credenciais bancárias.
Com um nível médio de confiança, a atividade maliciosa revelada no último ataque cibernético usando o trojan IcedID está associada aos padrões de comportamento do adversário de um grupo rastreado como UAC-0041. Além de usar o malware mencionado acima, esses atores de ameaças são conhecidos por terem aplicado as variantes maliciosas AgentTesla e XLoader em ataques cibernéticos anteriores contra a infraestrutura crítica ucraniana.
Uso do IcedID para Comprometer Sistemas do Governo Ucraniano: Visão Geral do Ataque
O malware IcedID veio à tona pela primeira vez em 2017 visando bancos dos EUA e do Canadá, e desde então tem sido aplicado em um conjunto de campanhas adversárias visando instituições financeiras, provedores de telecomunicações e e-commerce, e outras organizações ao redor do mundo.
Originalmente, o malware IcedID foi projetado como um trojan bancário e ladrão de informações, sendo capaz de capturar credenciais bancárias, acessar dados financeiros das vítimas e realizar transações maliciosas automatizadas. Ao infiltrar-se na rede alvo, o malware monitora a atividade dos dispositivos e lança ataques man-in-the-browser. Tipicamente, tal ataque envolve três etapas, a saber: injeção da web, configuração de proxy e redirecionamento. Seguindo essa rotina maliciosa, o IcedID é capaz de atrair vítimas por meio de engenharia social, superar a autenticação multifator e acessar contas bancárias. Exceto pelas capacidades de roubo de dados, o IcedID é frequentemente utilizado como um dropper de malware de segunda fase. Particularmente, as campanhas mais recentes do IcedID mostram que a variante maliciosa está sendo amplamente utilizada para entregar cargas de ransomware.
No ataque cibernético mais recente sobre órgãos do governo ucraniano, o trojan bancário mencionado acima está sendo distribuído via macros maliciosos que permitem a execução de um componente carregador da cadeia de infecção IcedID e acabam comprometendo a infraestrutura alvo.
Detecção de Malware IcedID: Conteúdo Comportamental Sigma para Identificar a Atividade mais Recente do UAC-0041
Para detectar os ataques recém-descobertos do IcedID, os profissionais de segurança podem utilizar um conjunto de regras Sigma curadas disponíveis em uma pilha de detecção extensa da plataforma da SOC Prime.
Regras Sigma para detectar ataques IcedID por UAC-0041
Para garantir a busca de conteúdo mais conveniente para a atividade mais recente do UAC-0041, todas as detecções relevantes são devidamente marcadas como #UAC-0041. Certifique-se de ter se registrado na plataforma Detection as Code da SOC Prime para acessar os algoritmos de detecção mencionados acima.
Além disso, os profissionais de segurança podem buscar por ameaças relacionadas ao IcedID em seu ambiente nativo na nuvem através do módulo Quick Hunt da SOC Prime usando todas as detecções mencionadas acima.
Contexto MITRE ATT&CK®
Neste artigo de blog, também abordamos o contexto do último ataque cibernético envolvendo a distribuição do nefasto malware IcedID com base no framework MITRE ATT&CK e nas TTPs dos adversários. Para fornecer o contexto relevante, todas as regras de detecção baseadas em Sigma estão alinhadas com a versão mais recente do framework ATT&CK abordando as táticas e técnicas relacionadas:
