New Report
Menlo Security Named a Leader in GigaOm Radar Report for Secure Enterprise Browsing
Icon Rounded Closed - BRIX Templates

さまざまな顔を持つIcedIDの攻撃キルチェーン

|

はじめに

Menlo Labsのチームはここ数カ月間で、非常に興味深い、一部重なり合うようにも見えるいくつかのIcedIDキャンペーンを発見しました。IcedIDは2017年に登場したモジュール型のトロイの木馬で、今でも最も悪名高いマルウェアの1つであり続けています。このブログでは、私たちが追跡してきたさまざまなIcedIDキャンペーンについて簡単にご紹介します:

  • 悪意のあるOneNoteキャンペーン
  • webdavプロトコルを使った.urlファイルによるキャンペーン
  • Thumbcache Viewerキャンペーン
  • HTMLスマグリングキャンペーン

脅威インテリジェンス

IcedIDマルウェアの攻撃チェーンは、悪意のある攻撃者がフィッシングメールや偽のZoomインストーラ、悪意のある.oneファイル、あるいは不正広告キャンペーンを送信することから始まる、多段階のプロセスです。メールの多くには、OneNoteファイル、JavaScriptファイル、Visual Basic Script(VBS)ファイル、実行ファイル(EXE)などの悪意のあるペイロードをホストするWebサイトにつながるリンクや添付ファイルが含まれています。被害者がそれらを開くと、攻撃者が管理するコマンド&コントロール(C2)サーバーから追加のコンポーネントがダウンロードされます。

OneNote脅威キャンペーン

さらに2022年12月末には、このマルウェアがGoogleのペイパークリック広告を活用したマルバタイジング攻撃(悪意のある広告を使用してマルウェアを拡散するオンライン広告手法)が確認されました。悪意のある攻撃者はこれらの広告を利用して、感染目的で使用されるスクリプトを含むドメインに被害者を誘導し、リダイレクターチェーン手法の一部として侵害されたWordPressサイトを活用します。この手法により、ユーザーを攻撃者の意図する目的地へと誘導し、その過程での検知を回避します。

どのMicrosoft Teamsページが本物でしょう?
悪意のあるMicrosoft Teamsのダウンロードサイト

攻撃者は、SEOポイズニング(SEOアルゴリズムを悪意のある目的のために悪用しようとするサイバー攻撃の一種)を利用して侵害されたサイトを宣伝することが確認されています。これは、検索結果ページ(SERPs:Search Engine Results Pages)でのランキングを上げるために、Webサイトのコンテンツとコードを操作することを含みます。SEO技術を活用することで、攻撃者は悪意のあるサイトを実際よりも合法的で望ましいものに見せかけ、疑うことを知らないユーザーをそのサイトに誘導することができます。Menlo Securityではこの手法をLURE(Legacy URL Reputation Evasive)と名付けました。この手法は技術的な手法とソーシャルエンジニアリングの手法を組み合わせることで検知を回避することができるため、特定と対策が難しい脅威です。そのため私たちは、この手法をHEAT(Highly Evasive Adaptive Threats : 高度に回避的で適応型の脅威)に分類しています。Menlo Labsは以前、SEOポイズニングを利用した攻撃について詳述しています。

マルバタイジングとは、悪質な業者が不正な広告を利用してマルウェアを拡散させるオンライン広告手法です。これは、ディスプレイ広告、ポップアップ、バナー、Webサイトやメールに埋め込まれたリンクなどを通じて行われます。いずれも、ランサムウェアやスパイウェアなどの悪意のあるペイロードをダウンロードするようユーザーを誘導します。マルバタイジングキャンペーンは通常、企業ユーザーをターゲットとしています。しかし、感染したサイトにアクセスした人は、年齢や経験レベルに関係なく、誰でも侵害される可能性があります。

Webdavプロトコルキャンペーン

また、2022年12月に見られたIcedIDは、OneNoteのファイル共有機能を悪用し、これを攻撃ベクトルとして使用しました。攻撃者はスクリプト、EXE、ドキュメントなどの悪意のあるファイルをOneNoteページにアップロードし、潜在的な被害者と共有することができました。被害者がファイルを開いてクリック可能なアイコンを選択すると、知らぬ間にこれらの悪意のあるファイルのダウンロードが始まり、IcedIDがシステムにインストールされることになります。一般的なウイルス対策ソフトのベンダーはOneNoteを安全と判断しているため、ハッカーは従来型のセキュリティ対策を回避することができます。

OneNoteのキャンペーンは2023年2月にも行われ、そこで別のIcedIDキャンペーンが開始されたことが確認されています。このキャンペーンでは、オープンディレクトリのWebDavファイルサーバーから.batファイルを取得する.urlファイルを使用していました。.urlファイルと.batファイルの両方が、Web Distributed Authoring and Versioning(WebDAV)を活用してマルウェアを取得し実行します。WebDAVは、ユーザーがリモートWebサーバーに保存されたファイルにアクセスし、変更することを可能にする一連のHTTPプロトコル拡張子で構成されています。

Thumbcache Viewerキャンペーン

2023 年 3 月には、「Thumbcache Viewer」を装ったサンプルがいくつか確認されました。 Thumbcache Viewer を使用すると、Windows にあるthumbcache_.db および iconcache_.db データベース ファイルからサムネイル画像を抽出できます。

マルウェアを開こうとした際のサンドボックス画面

HTMLスマグリングキャンペーン

これ以前にも、HTMLスマグリングを利用したIcedIDが確認されていました。2022年10月、HTMLを添付したフィッシングメールでIcedIDが配信されました。ユーザーがおとりを開いてクリックすると、悪意のあるISOファイルを含むパスワードで保護されたZIPファイルがダウンロードされます。

IcedIDはQuantum Ransomwareの攻撃者によって独占的に使用されているとする未確認の報告もありましたが、これらの最近の感染チェーンの最終目標はまだ明らかになっていません。元Contiのメンバーが立ち上げたQuantum Ransomwareは、何度もブランド名を変えてきました。2020年6月にMountLockerとしてスタートし、その後AstroLocker、XingLockerと名前を変え、最終的にQuantumとなりました。これを踏まえた上でIcedIDが関与した過去のキャンペーンを調べてみると、次のようなものがあります:

  • Quantum Ransomware - 2022年4月25日 ISO/LNK キャンペーン
  • Conti Ransomware - 2021年12月 盗まれたイメージによるキャンペーンがConti Ransomwareで終了
  • XingLocker Ransomware - 2021年10月18日 24時間でIcedIDからXingLocker Ransomwareへ

感染ベクトル/技術的詳細

IcedIDが被害者のシステムにロードされると、レジストリ操作によって永続性を確立します。IcedIDはブラウザーの設定を変更し、被害者が閲覧した正規のWebページに悪意のあるコンテンツを注入し、さらなる感染につなげます。また、既存のプロセスにスクリプトを注入し、検知されずにC2サーバーと通信することもできます。そして、ランサムウェアなどの他のペイロードをダウンロードしたり、感染したマシンからパスワードなどの機密情報を盗んだりすることができます。

また、IcedIDは、ChromeやFirefoxなどのWebブラウザーに保存されている認証情報を取得し、同じネットワーク上の他のシステムに対するさらなる攻撃に使用する機能も備えています。また、ユーザーの行動をスクリーンショットで撮影し、パスワードを盗むためにキー入力を記録することも可能です。またこのマルウェアは、アンチウイルスソフトウェアやファイアウォールなどのセキュリティ製品を無効化することで、感染に対抗しようとするITチームに発見されないようにします。

最近のインシデントでは、上記のIcedIDのWebDavファイルサーバーが開かれたままになっており、攻撃に使用された悪意のあるファイルの内容を見たり取得したりすることができました。攻撃者は自身のインフラでホストされているURLへのリンクを含む悪意のあるOffice文書を使用し、被害者のマシンに二次的なマルウェアをダウンロードします。

分析時に開かれたままになっていたIcedIDファイルサーバー

また、上記のOnenote IcedIDキャンペーンで興味深いのは、Onenoteファイル内に悪意のあるコードが隠されていることです。このコードは、実行ファイル(putty.exe)を外部からダウンロードし、被害者のコンピュータ上で実行しようとしています(アナリストのコメント:コードの後半で保存先が上書きされるため、レビューしたサンプルはエラーになりました)。また、ウィンドウのサイズを変更したり、視界から外したり、15秒後にウィンドウを閉じたりして、活動を隠そうとします。

Onenoteファイルをさらに見ていくと、遠隔地から2つのファイル(classic.jpgとinvoice.pdf)をダウンロードし、PowerShellを使って、ユーザーのコンピュータの特定のセキュリティプロトコルを回避して実行しようとするコードがあります。このcreateExecution関数は、「C:\Users\Public\classic.jpg,PluginInit」を引数として「rundll32」を実行します。また、「t」リンクをクリックしたときに起動するalert()関数を設定し、Powershellコマンドを含むaltタグの画像を読み込んだ後、読み込んだウィンドウのサイズ変更と移動を行います。最後に、読み込みから45秒後に「K」リンクを自動的にクリックし、実行された痕跡を残さないよう、その後自分自身を閉じようとするようです。

classic.jpgは悪意のある実行ファイルであり、invoice.pdfは通常のファイルをダウンロードしたかのようにユーザーを騙すためのおとりファイルです。

悪意のあるコードを含むOneNoteのメタデータ

また、悪意のあるファイルには以下のような興味深いメタデータもいくつか残されています:

  • そのキャンペーンのいくつかの明確なマーカー:
  • unpaid_(numbers)-(Month)-03.one
  • ファイルパス:
  • C:\Users\Admin\Desktop\htaLdr\cloudDocument.hta
  • C:\Users\Admin\Desktop\htaRevenge\lookAtThat.hta

結論

IcedID は、特定の組織をターゲットにしたものから検知されずにシステムにアクセスするために高度な回避技術を使用するものまで、さまざまな手法を使用します。これにより、セキュリティ対策が効果を発揮する前に悪質な活動を行うことができるため、現在最も危険な脅威の1つとなっているのです!

IOCS

Icedid dll

fbad60002286599ca06d0ecb3624740efbf13ee5fda545341b3e0bf4d5348cfe

Icedid exe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onenote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216.73.159.132
216.73.159.134
216.73.159.29
216.73.159.44
216.73.159.60
216.73.159.80
135.148.217.85
5.196.196.252
80.66.88.71
157.254.195.65
38.180.0.89
37.252.6.77
80.78.24.3
hrowerknifi[.]com
neonmilkustaers[.]com
svoykbragudern[.]com
olifamagaznov[.]com
trbiriumpa[.]com
whothitheka[.]com
ebothlips[.]com
renomesolar[.]com
palasedelareforma[.]com
ehonlionetodo[.]com

ソース

https://thehackernews.com/2023/01/icedid-malware-strikes-again-active.html
https://www.cyber.nj.gov/alerts-advisories/new-icedid-campaign-distributes-malware-through-fake-zoom-installer
https://socprime.com/blog/icedid-botnet-detection-malvertising-attacks-abusing-google-pay-per-click-ppc-ads/
https://thedfirreport.com/category/icedid/
https://digitalguardian.com/blog/5-malware-families-use-malvertising
https://thehackernews.com/2023/01/icedid-malware-strikes-again-active.html
https://www.cyber.nj.gov/alerts-advisories/new-icedid-campaign-distributes-malware-through-fake-zoom-installer

ブログカテゴリー

Menlo Security

menlo security logo
linkedin logotwitter/x logofacebook logoSocial share icon via eMail