IcedID Malware Strikes Again: Active Directory Domain Compromised in Under 24 Hours
2023/01/12 TheHackerNews — 先日に発生した IcedID マルウェア攻撃では、イニシャル・アクセスから 24時間以内に、無名ターゲットの Active Directory ドメインが侵害されていたという。今週に発表されたレポートで Cybereason の研究者たちは、「この脅威アクターは攻撃の最中に、偵察コマンド操作/認証情報窃取/横方向への移動に加えて、侵入したホスト上での Cobalt Strike の実行という手順を踏んでいた」と述べている。IcedID (別名 BokBot) は、2017年にバンキング・トロイの木馬としてスタートした後に、他のマルウェアを支援するドロッパーへと進化し、Emotet/TrickBot/Qakbot/Bumblebee/Raspberry Robin などの仲間に加わった。
IcedID による攻撃および配信においては、Web からダウンロードした Office ファイルのマクロを、Microsoft がブロックすることを決定したことにより、さまざまな方法を活用するにいたった。
Cybereason が詳述しているが、感染経路が ZIP アーカイブに含まれる ISO イメージ・ファイルから始まり、IcedID ペイロードの実行に至るという点で、その侵入方法は変わらない。その後に、IcedID はスケジュールされたタスクを通じてホスト上で持続性を確立し、リモートサーバと通信し、後続の偵察活動用に Cobalt Strike Beacon などのペイロードをダウンロードする。
さらに、ネットワーク上を横方向へと移動し、すべてのワークステーションで Cobalt Strike Beacon を実行し、正規のリモート管理ツールである Atera エージェントを、その後のリモート・アクセス・ツールとしてインストールする。
研究者たちは、「この種の IT ツールを利用する攻撃者は、最初の永続化メカニズムが発見され、修復された場合においても、自分自身のために追加のバックドアを作成できる。このようなツールは、アンチウイルスや EDR で検出される可能性が低く、また誤検出と判断される可能性も高い」と述べている。
さらに Cobalt Strike Beacon は、Rubeus と呼ばれる C# ツールをダウンロードするための経路として使用され、最終的に脅威アクターは、ドメイン管理者権限を持つWindows Server へと移動していく。
そして、この昇格した権限を武器に DCSync 攻撃を行い、DC (domain controller) の動作をシミュレートし、他の DC から認証情報を取得していく。
この攻撃で使用されるツールに含まれるものとしては、ネットワークをスキャンして横方向の移動を調査する netscan.exe という正規ユーティリティや、目的のディレクトリを MEGA クラウド・ストレージ・サービスに流出させる rclone ファイル同期ソフトウェアなどが挙げられる。
今回の発見は、Team Cymru の研究者たちが、侵害に成功した IcedID が追加機能を取得するための BackConnect (BC) プロトコルや、リモートアクセス・チャネルを提供する VNC モジュールなどの詳細を分析した結果でもある。
2022年12月に研究者たちは、「BackConnect (BC) のケースでは、別の役割を持つ2人のオペレーターがプロセス全体を管理しているようだ。そして、悪意のアクティビティの多くは、通常の勤務時間中に行われている」と付け加えている。
2022年11月には Proofpoint が、Emotet の復活が IcedID の新バージョン配布に関連していると報告している。
IcedID に関連する最新の記事は、上記の Emotet に絡むものです。そこでは、Proofpoint にレポートを引用するかたちで、「2022 年11月初旬から、1日あたり数十万通の電子メールが送信されている。この、新たなアクティビティは、Emotet が主要なマルウェア群の配信ネットワークとして機能し、完全に復活したことを示唆している」と述べられています。そして、ドロップされるペイロードとして、IcedID や Bumblebee などがあると指摘されています。ここでも、MoTW との戦いが熾烈ですね。
IoT OT Security News 
You must be logged in to post a comment.