Language
IcedID スレッド
ホームページホームページ > ブログ > IcedID スレッド
最新ニュース

IcedID スレッド

Nov 30, 2023

攻撃者は、侵害された Microsoft Exchange サーバーを使用してスレッドハイジャック攻撃を開始し、被害者を IcedID マルウェアに感染させます。

攻撃者は、侵害された Microsoft Exchange サーバーを使用して、被害者を IcedID マルウェアに感染させる悪意のある添付ファイルを含むフィッシングメールを送信しています。

この最新のキャンペーンは 3 月中旬に観察され、現在も進行中であるようで、エネルギー、ヘルスケア、法律、製薬分野の組織が標的となっています。 2017 年に初めて発見された IcedID は、当初、攻撃者が銀行の認証情報を盗む方法として設計されました。 しかし、それ以来、このマルウェアは進化し、現在では被害者のマシンに第 2 段階のペイロードを展開するために使用されています。

「新しい IcedID キャンペーンでは、攻撃者の手法がさらに進化していることを発見しました」と、Intezer の研究者である Joakim Kennedy 氏と Ryan Robinson 氏は月曜のキャンペーン分析で述べた。 「攻撃者は現在、侵害された Microsoft Exchange サーバーを使用して、盗んだアカウントからフィッシングメールを送信しています。」

研究者らは、攻撃に使用されたフィッシングメールが、最近の契約に対する未処理の支払いについて被害者に警告し、添付ファイル内の法的文書を指し示す誘い文句で使用されたことを観察しました。 この電子メールはスレッド ハイジャックを利用しており、攻撃者は侵害された正規の電子メールを使用して既存の会話に侵入し、フィッシング攻撃の説得力を高め、エンド ユーザーが検出することを困難にします。

添付された zip アーカイブ ファイルはパスワードで保護されており、電子メールに記載されているパスワードが使用されます。 アーカイブには 1 つの ISO ファイルが含まれています。 被害者がファイルをクリックすると、「regsvr32」コマンドライン ユーティリティを使用して DLL ファイルが実行されます。研究者らによると、これは main.dll 内の悪意のあるコードのプロキシ実行を許可することで防御回避を可能にする技術です。

「ペイロードも、オフィス文書の使用から、Windows LNK ファイルと DLL ファイルを含む ISO ファイルの使用に移行しました」と Kennedy 氏と Robinson 氏は述べています。 「ISO ファイルを使用すると、攻撃者は Mark-of-the-Web コントロールを回避でき、その結果、ユーザーに警告することなくマルウェアが実行されます。」

「新しい IcedID キャンペーンで、攻撃者のテクニックがさらに進化したことを発見しました。」

DLL ファイルは IcedID ペイロードのローダーであり、ほとんどがジャンク コードで構成される多数のエクスポートが含まれています。 このローダーは、まず API ハッシュを通じて暗号化されたペイロードを見つけます。これは、アナリストや自動化ツールがコードの目的を判断できないようにするためにマルウェアで一般的に使用される手法であり、Windows API 関数呼び出しはハッシュ アルゴリズムを使用して実行時に解決されます。 ペイロードはデコードされ、メモリに配置されて実行され、マシンのフィンガープリントを取得し、コマンド アンド コントロール (C2) サーバーに接続して被害者のマシンに関する情報を送信します。 研究者らによると、この情報はHTTP GETリクエストを介してCookieヘッダーを介して密輸されるという。

研究者らは、攻撃の一部として観察された侵害された Exchange サーバーの大部分は「パッチも適用されておらず、一般に公開されているようであり、ProxyShell ベクトルは有力な理論である」と述べています。

「フィッシングメールの送信に使用されたExchangeサーバーの大部分はインターネット経由で誰でもアクセスできますが、『内部』Exchangeサーバーと思われる内部に送信されたフィッシングメールも確認されています」とケネディ氏とロビンソン氏は述べた。

研究者らは、このキャンペーンの背後にいる攻撃者はアクセス ブローカーを専門としている可能性があると考えています。 このマルウェアはこれまで、TA577 や TA551 などのアクセス ブローカーによって利用されており、組織への最初のアクセスを取得してから、そのアクセスを他の脅威アクターに販売します。

TA551 が使用する手法には、会話ハイジャックやパスワードで保護された zip ファイルが含まれます。」と Kennedy 氏と Robinson 氏は述べています。「このグループは、悪意のある DLL の署名付きバイナリ プロキシ実行に regsvr32.exe を使用することも知られています。

Kennedy 氏は、IcedID はランサムウェアを直接展開しているわけではなく、ランサムウェアが実行される前に組織へのさらなるアクセスを得るために使用されるマルウェアや Cobalt Strike のようなツールを展開しているが、Sodinokibi、Maze、Egregor などのランサムウェア ファミリはIcedID を使用する初期アクセス。 研究者らは、組織にセキュリティトレーニングを導入することで、従業員が今回のキャンペーンで使用されたようなフィッシングメールをより適切に検出できるようになると強調した。