IcedID Malware Adapts and Expands Threat with Updated BackConnect Module
2023/07/28 TheHackerNews — IcedID マルウェア・ローダーに関与する脅威アクターが、ハッキング済のシステムでの活動に使用さする BackConnect (BC) モジュールにアップデートを施していることが、Team Cymru の新たな調査結果で明らかになった。IcedID は BokBot とも呼ばれ、Emotet や QakBot に似たマルウェアの一種であり、2017年にバンキング型トロイの木馬として始まり、その後に他のペイロードのインシャル・アクセスを促進する役割へと移行している。このマルウェアの最新バージョンでは、ランサムウェアの配信を優先するために、オンライン・バンキング詐欺に関連する機能が削除されていることも確認されている。
この BackConnect (BC) モジュールは、2022年10月に Netresec が初めて文書化したものであり、感染させたホストとサーバの間でコマンドをやり取りするために、独自の Command and Control (C2) プロトコルを用いている。このプロトコルは、現在は活動を停止している BazarLoader や QakBot などでも利用されていた、リモートアクセス用の VNC コンポーネントを用いている。
2022年12月に Team Cymru は、2022年7月1日以降に活動している 11件の BC C2 サーバの存在を発見/報告し、モルドバとウクライナにいると思われるオペレーターが、BC プロトコルの亜種を管理していると指摘していた。
2023年5月下旬の時点で Palo Alto Networks の Unit 42 は、「これまでの数カ月間において、IcedID による BackConnect トラフィックは、TCP ポート 8080 経由で発生していたので検出は容易だった。しかし、2023年4月11日の時点で、IcedID のBackConnect アクティビティは TCP ポート 443 に変更され、発見が難しくなった」と述べていた。
この攻撃インフラに関する Team Cymru の最新分析では、2023年1月23日以降において、BC C2 サーバ数が 11件から 34件に急増し、サーバの平均稼働時間が28日から8日へと大きく減少していることが明らかにされている。
同社は、「2023年4月11日以降に、その管理インフラからのピボットをベースにして、合計で 20件の高信頼性 BC C2 サーバが特定された。最初の発見は、同時に稼働している C2 サーバ数が増加していることである。BC C2 サーバから発信されたトラフィックを調査した結果として、2023年4月下旬〜6月に、3台以上の BC C2 が長期間にわたり通信を行い、8台もの被害者候補が確認された」と、The Hacker News と共有したレポートの中で述べている。
また、被害者とサーバ間で観測されたトラフィックの量から、同一の IcedID 運営者またはアフィリエイトが、同じ期間内に複数の被害者にアクセスしていた可能性があるという。
Team Cymru は、「IcedID BC に関連する管理インフラを調査したところ、IcedID の日常業務に関連するユーザーと、侵害後に被害者ホストとやり取りをするアフィリエイトの両方から、複数の異なるアクセスが行われているパターンを確認した。我々の NetFlow データにおける証拠が示唆するのは、IcedID に侵害された特定の被害者が、BC の SOCKS 機能により有効化されたスパム送信操作の、プロキシとして悪用されていることだ。それは被害者にとって、二重の打撃となる可能性があり、被害者は危険にさらされ、データや金銭的な損失を被るばかりでなく、さらなる IcedID キャンペーンを広める目的で悪用されることになる」と付け加えている。
文中にもあるように、IcedID はオンライン・バンキング詐欺からランサムウェア配信へと、明確に移行しているようです。そのあたりのことは、2023/03/27 の「IcedID の新たな亜種:バンキング詐欺からマルウェア配信へとシフトしている」で、詳しく解説されています。よろしければ、IcedID で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.