IceDid 공격 킬 체인의 다양한 얼굴

핵심 요약

Menlo Labs 팀은 지난 몇 달 동안 매우 흥미롭고 겉보기에 겹치는 것처럼 보이는 IceDID 캠페인을 발견했습니다.IceDID는 2017년에 등장한 모듈식 트로이 목마로, 그 이후로 가장 악명 높은 멀웨어 중 하나로 입증되었습니다.이 블로그에서는 다음을 포함하여 지금까지 추적한 다양한 IceDID 캠페인에 대해 간략하게 설명하겠습니다.

• 악의적인 원노트 캠페인
• webdav 프로토콜 캠페인을 사용하는.url 파일
• 썸캐시 뷰어 캠페인
• HTML 밀수 캠페인

위협 인텔리전스

의 공격 체인 IceDid 악성코드 악의적인 공격자가 피싱 이메일, 가짜 Zoom 설치 프로그램, 악의적인.one 파일 또는 악성 광고 캠페인을 보내는 것으로 시작되는 다단계 프로세스입니다.이메일에는 종종 OneNote 파일, JavaScript 파일, Visual Basic Script (VBS) 파일 및 실행 파일 (EXE) 과 같은 악성 페이로드를 호스팅하는 웹 사이트로 연결되는 링크 또는 첨부 파일이 포함되어 있습니다.피해자가 열면 공격자가 제어하는 C2 (명령 및 제어) 서버에서 추가 구성 요소를 다운로드합니다.

원노트 위협 캠페인

또한 이 멀웨어는 2022년 12월 말에 멀버타이징 공격에 Google Pay-per-Click 광고를 활용한 것으로 밝혀졌습니다. 멀버타이징 공격은 악의적인 공격자가 기만적이거나 악의적인 광고를 사용하여 멀웨어를 유포하는 온라인 광고 관행입니다.위협 행위자는 이러한 광고를 사용하여 피해자를 감염 목적으로 사용되는 스크립트가 포함된 도메인으로 유도하고, 손상된 WordPress 사이트를 리디렉터 체인 기법의 일부로 활용합니다.이 기법은 사용자가 도중에 탐지를 피하면서 공격자가 의도한 목적지로 되돌아가게 합니다.

우리는 공격자들이 악의적인 목적으로 SEO 알고리즘을 악용하려는 사이버 공격의 일종인 검색 엔진 최적화 (SEO) 포이즈닝을 활용하여 손상된 사이트를 홍보하는 것을 관찰했습니다.여기에는 검색 엔진 결과 페이지 (SERP) 에서 순위를 높이기 위해 웹 사이트 콘텐츠와 코드를 조작하는 것이 포함됩니다.공격자는 SEO 기술을 활용하여 악성 사이트를 실제보다 더 합법적이고 바람직한 것처럼 보이게 하여 의심하지 않는 사용자를 해당 사이트로 유도할 수 있습니다. 이를 우리는 이 기법이라고 불렀습니다. 레거시 URL 평판 회피 (LURE).이 기법은 기술 및 사회 공학 전술의 조합을 통해 탐지를 회피할 수 있으므로 위협을 식별하고 완화하기가 어렵습니다. 이것이 바로 우리가 이 기술을 다음과 같이 분류하는 이유입니다. 고도로 회피적인 적응형 위협 (HEAT).멘로 랩스는 이전에 SEO 중독을 이용한 공격에 대해 자세히 설명했습니다..

멀버타이징은 악의적인 공격자가 기만적이거나 악의적인 광고를 사용하여 멀웨어를 유포하는 온라인 광고 관행입니다.디스플레이 광고, 팝업, 배너, 웹사이트나 이메일에 포함된 링크 등을 통해 이러한 상황이 발생할 수 있으며, 이를 통해 사용자는 랜섬웨어나 스파이웨어와 같은 악성 페이로드를 다운로드하게 됩니다.맬버타이징 캠페인은 일반적으로 기업 집단을 대상으로 합니다.그러나 연령이나 경험 수준에 관계없이 감염된 사이트를 방문하는 사람은 누구나 위험에 처할 수 있습니다.

웹다브 프로토콜 캠페인

2022년 12월에도 볼 수 있듯이 IceDID는 사용되었습니다. 원노트 파일 공유 기능을 악용하여 공격 벡터로 사용합니다.위협 행위자는 스크립트, EXE 및 문서와 같은 악성 파일을 OneNote 페이지에 업로드하여 잠재적 피해자와 공유할 수 있었습니다.피해자가 파일을 열고 클릭 가능한 아이콘을 선택하면 자신도 모르게 악성 파일이 다운로드되고 자신도 모르게 시스템에 IceDID를 설치하게 됩니다.바이러스 백신 소프트웨어 공급업체는 일반적으로 OneNote를 안전한 것으로 간주하므로 해커는 이러한 종류의 공격을 통해 기존의 보안 조치를 우회할 수 있습니다.

OneNote 캠페인은 2023년 2월에 시작되었고 또 다른 IceDID 캠페인이 시작되었습니다.이 캠페인은 오픈 디렉토리 WebDAV 파일 서버에서.bat 파일을 검색하는.url 파일을 사용했습니다..url과.bat 파일 모두 웹 분산 작성 및 버전 관리 (WebDAV) 를 활용하여 멀웨어를 가져와 실행합니다.WebDAV는 사용자가 원격 웹 서버에 저장된 파일에 액세스하고 수정할 수 있도록 하는 일련의 HTTP 프로토콜 확장으로 구성됩니다.

썸캐시 뷰어 캠페인

2023년 3월, 일부 샘플이 “썸캐시 뷰어”로 위장하는 것을 보았습니다.썸캐시 뷰어를 사용하면 썸캐시에서 썸네일 이미지를 추출할 수 있습니다_.db 및 아이콘캐시_.db 데이터베이스 파일이 윈도우에 있습니다.

HTML 밀수 캠페인

이전에는 IceDID가 사용하는 것으로 확인되었습니다. HTML 스머글링.2022년 10월, IceDID는 HTML 첨부 파일이 포함된 피싱 이메일을 통해 전송되었습니다.사용자가 미끼를 열고 클릭하면 악성 ISO 파일이 포함된 암호로 보호된 zip 파일이 다운로드됩니다.

일부 미확인 보고서에 따르면 IceDid는 Quantum Ransomware 갱단에 의해 독점적으로 사용되고 있지만 이러한 최근의 감염 체인은 아직 최종 목표를 밝히지 않았습니다.퀀텀 랜섬웨어 (전 CONTI 멤버로 구성) 는 지난 수년에 걸쳐 브랜드가 변경되었습니다.2020년 6월 마운트락커로 시작하여 아스트로로커와 싱락커로 이름을 변경한 후 마침내 퀀텀으로 변모했습니다.이 사실을 알기에 IceDID와 관련된 과거 캠페인들에 대해 살펴보겠습니다. 예를 들면 다음과 같습니다.

• 퀀텀 랜섬웨어 - 2022년 4월 25일 ISO/LNK 캠페인
• 콘티 랜섬웨어 - 2021년 12월 도난 이미지 캠페인, 콘티 랜섬웨어로 종료
• 싱락커 랜섬웨어 - 2021년 10월 18일 24시간 만에 싱락커 랜섬웨어에 대한 DID

감염 벡터/기술 세부 정보

IceDid가 피해자의 시스템에 로드되면 레지스트리 조작 기술을 통해 지속성을 설정합니다.브라우저 설정을 수정하여 피해자가 본 합법적인 웹 페이지에 악성 콘텐츠를 주입하여 추가 감염으로 이어집니다.또한 기존 프로세스에 스크립트를 삽입하여 탐지되지 않고 C2 서버와 통신할 수 있도록 합니다.마지막으로 랜섬웨어와 같은 다른 페이로드를 다운로드하거나 감염된 시스템의 암호와 같은 민감한 정보를 훔칠 수 있습니다.

또한 IceDid는 Chrome 또는 Firefox와 같은 웹 브라우저에서 저장된 자격 증명을 수집하여 동일한 네트워크의 다른 시스템에 대한 추가 공격에 사용할 수 있습니다.또한 사용자 활동의 스크린샷을 찍고 암호 도용 가능성이 있는 키 입력을 기록할 수 있습니다.또한 맬웨어는 바이러스 백신 소프트웨어나 방화벽과 같은 보안 제품을 비활성화하여 감염을 막으려는 IT 팀에 의해 탐지되지 않도록 하려고 시도합니다.

최근에 발생한 사건에서 IceDid (위에서 언급한 내용) WebDAV 파일 서버가 열려 있었기 때문에 공격에 사용될 악성 파일을 확인하고 제거할 수 있었습니다.위협 행위자는 자체 인프라에서 호스팅되는 URL로 연결되는 링크가 포함된 악의적인 Office 문서를 사용하고, 이 URL은 피해자의 컴퓨터에 보조 멀웨어를 다운로드합니다.

위에서 언급한 Onenote IceDid 캠페인에서도 흥미로운 점은 Onenote 파일에 악성 코드가 숨겨져 있다는 것입니다.이 코드는 외부 소스에서 실행 파일 (putty.exe) 을 다운로드하여 피해자의 컴퓨터에서 실행하려고 합니다 (분석가의 의견: 검토한 샘플은 저장된 위치가 나중에 코드에 덮어쓰여졌기 때문에 오류가 발생했습니다).또한 창 크기를 조정하고 시야에서 벗어난 다음 15초 후에 창을 닫아 활동을 숨기려고 합니다.

Onenote 파일 아래에는 원격 위치에서 두 파일 (classic.jpg 및 invoice.pdf) 을 다운로드한 다음 사용자 컴퓨터의 특정 보안 프로토콜을 우회하여 PowerShell을 사용하여 파일을 실행하려는 코드가 더 많이 있습니다.CreateExecution 함수는 "C:\Users\Public\classic.jpg, PluginIt"를 인수로 사용하여 “rundll32"를 실행합니다.또한 “t” 링크를 클릭할 때 트리거되는 alert () 함수를 설정하고, Powershell 명령이 포함된 alt 태그를 사용하여 이미지를 로드한 후 로드된 창의 크기를 조정하고 창을 이동합니다.마지막으로, 로드한 지 45초 후에 자동으로 “K” 링크를 클릭합니다. 실행 흔적을 남기지 않기 위해 나중에 자동으로 닫히려고 시도할 가능성이 높습니다.

classic.jpg 파일은 악성 실행 파일이고 invoice.pdf 파일은 사용자가 정상 파일을 다운로드했다고 생각하도록 속이는 유인 파일입니다.

또한 흥미로운 것은 다음과 같은 악성 파일에 남아있는 일부 메타 데이터입니다.

• 캠페인의 몇 가지 뚜렷한 지표는 다음과 같습니다.
• 미지급_ (숫자) - (월) -03.하나
• 파일 경로:
• C:\Users\Admin\Desktop\htaLdr\cloudDocument.hta
• C:\Users\Admin\Desktop\htaRevenge\lookAtThat.hta

결론

전반적으로 IceDID는 탐지되지 않은 시스템에 액세스하기 위해 특정 조직을 대상으로 하는 것부터 고급 회피 기술을 사용하는 것까지 다양한 기술을 사용합니다.이를 통해 보안 조치가 개입하기 전에 악의적인 활동을 수행할 수 있으며, 이는 현재 만연한 위협 중 가장 위험한 위협 중 하나입니다!

IOC

Icedid dll

fbad60002286599ca06d0ecb3624740efbf13ee5fda545341b3e0bf4d5348cfe

Icedid exe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onenote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216.73.159.132
216.73.159.134
216.73.159.29
216.73.159.44
216.73.159.60
216.73.159.80
135.148.217.85
5.196.196.252
80.66.88.71
157.254.195.65
38.180.0.89
37.252.6.77
80.78.24.3
hrowerknifi[.]com
neonmilkustaers[.]com
svoykbragudern[.]com
olifamagaznov[.]com
trbiriumpa[.]com
whothitheka[.]com
ebothlips[.]com
renomesolar[.]com
palasedelareforma[.]com
ehonlionetodo[.]com

출처

https://thehackernews.com/2023/01/icedid-malware-strikes-again-active.html
https://www.cyber.nj.gov/alerts-advisories/new-icedid-campaign-distributes-malware-through-fake-zoom-installer
https://socprime.com/blog/icedid-botnet-detection-malvertising-attacks-abusing-google-pay-per-click-ppc-ads/
https://thedfirreport.com/category/icedid/
https://digitalguardian.com/blog/5-malware-families-use-malvertising
https://thehackernews.com/2023/01/icedid-malware-strikes-again-active.html
https://www.cyber.nj.gov/alerts-advisories/new-icedid-campaign-distributes-malware-through-fake-zoom-installer