Hackers behind IcedID malware attacks diversify delivery tactics
2022/10/10 BleepingComputer — IcedID マルウェアによるフィッシング・キャンペーンの背後にいる脅威アクターは、さまざまなターゲットに対して、最も効果的な攻撃を仕掛けるために、多種多様な配布方法を利用していると思われる。2022年9月に、Team Cymru の研究者たちは、複数のキャンペーンを観測したが、いずれも微妙に異なる感染経路を辿っており、有効性を評価するための戦術が取られていると考えているようだ。
さらに、キャンペーンに使用されている Command and Control サーバ (C2) の IP 管理に変化が見られ、現在では杜撰さが見られると分析している。
マルウェア IcedID について
IcedID マルウェアは、2017年にモジュラー型バンキング・トロイの木馬として登場したが、その後に、企業ネットワークへのイニシャル・アクセスに多用されるマルウェア・ドロッパーへと進化している。
マルウェア・ドロッパーとは、感染させたデバイスに対して、さらなるマルウェアを静かにインストールするために使用され、脅威アクターがターゲット・システム上に足場を築き、その後にはネットワーク全体へと、より強力なペイロードを展開するのを支援するものだ。
一般的に、マルウェアド・ドロッパーのオペレータは、そのサービスを他のサイバー犯罪者に販売する。対象的に、サイバー犯罪者は、この部分を攻撃をアウトソースし、侵害後の活動に専念する。
一連のキャンペーンではフィッシング・メールが使用され、そこに添付された ISOファイル/アーカイブ/マクロなどを介して、IcedID がドロップされる。
Source: BleepingComputer
続いて、IcedID は巧妙に検知を回避し、ホスト上で永続性を確立していく。最終的に、このマルウェアは、HTTPS 経由で C2 と通信するためのプロキシをセットアップし、オペレータの指示に従って追加のペイロードをフェッチする。
デリバリー・チェーンの多様化
9月13日から21日の間に、Team Cymru のアナリストたちは、ターゲット上での IcedID 配信に、以下のような相違点があることに気づいた。
- パスワードで保護された ZIP -> ISO -> LNK -> JS -> [CMD or BAT] -> DLL
- パスワード保護された ZIP→ISO→CHM→DLL
- パスワード保護された ZIP -> ISO -> LNK -> BAT -> DLL
- マクロが混入した悪質な Word や Excel の文書
- PrivateLoader のペイパー・インストール・サービスを通じてダイレクトな配信
これらのキャンペーンでは、イタリア語/英語が使用され、その攻撃の規模は、上から下へと大きくなっていく。
最も効果的であった方法について Team Cymru は、ZIP→ISO→LNK チェーンのキャンペーンを挙げており、それに続いてゲーミング・クラック・ルアーを用いた PrivateLoader キャンペーンを挙げている。その一方で、ZIP→ISO→CHM チェーンのキャンペーンは、暫定的なテストと思われる、限定的な規模で採用され、最も成功率が低かったという。
また、英語圏のユーザーをターゲットとしながら、表示ボタンなどにイタリア語を使用した Excel ファイルも、ターゲットが詐欺の兆候と認識したようあり、被害者を騙すことはできなかった。Team Cymru のレポートでは、「これらの指標は、脅威アクターも参照している数字であり、その他の正規のビジネスと同様に、彼らの今後の行動に対して、影響を与える可能性がある」と説明している。
だらしなくなってきた?
9月の中旬以降に IcedID の運営者は、C2 サーバの IP アドレスとドメインの再利用を試み始めた。しかし、それは9月末に元に戻され、従来のキャンペーンと同様に、固有の IP が使用されている。
IcedID の C2 として使用される IP アドレスの寿命が短くなったことも、注目すべき変更点だ。以前は、新規登録ドメインをブロックするセキュリティ・システムやファイアウォールを回避するために、平均で 31日間ほどパークしてから有効化されていた。現在の IcedID はというと、数日前に登録したばかりのフレッシュなドメインを C2 に使用しており、これまでの方法と比較して注意不足であることが示されている。
Team Cymru は、脅威アクターが他のインフラを有効にする前に、新しい Command and Control をオンラインにするという杜撰なプロビジョニングにつながり、通信が切断される原因になったと述べている。
研究者たちは、「私たちが追跡した他の C2 が、キャンペーンで使用される1ヶ月ほど前に登録されていたのとは異なり、このドメインは C2 として使用される1日前に登録されていた。キャンペーンの当日に、この IP が割り当てられ上に、T2 通信が一度も設定されていないようだ。被害者のものと思われるトラフィックが C2 に到達しているが、そこで止まっている」と説明している。
マルウェア・キャンペーンのインフラが劣化したことは喜ばしいことだが、それに頼るだけでは、エンドユーザは感染を防げない。IcedID に感染する可能性を最小限に抑えるには、受信メールにおける詐欺やフィッシングの兆候を注意深く確認し、すべての未承諾の通信に対して、疑いをもって対応することが最善の方法となる。
このブログにおける IcedID 関連記事ですが、8月18日の「Active Directory と Bumblebee:侵害後に BazarLoader/TrickBot/IcedID などをロード」というものがありました。IcedID が、さまざまな配信チェーンを試している一方で、Bumblebee は、標的システムに特化したペイロードのロードに取り組んでいるようです。この種の試みが実用化されると、防御側で行うトラッキングが複雑になる可能性が生じます。ちょっと、嫌な展開ですね。
IoT OT Security News 
You must be logged in to post a comment.