IcedIDマルウェア

IcedID (AKA BokBot) は2017年に初めて発見された比較的新しいマルウェアの系統で、バンキング型トロイの木馬およびリモートアクセス型トロイの木馬 (RAT) に分類されます。Zeus、Gozi、Dridexといった他の洗練されたバンキング型トロイの木馬に匹敵する能力を持つと考えられています。IcedIDは、Emotetのような他の第一段階のマルウェアに依存する第二段階のマルウェアです。被害者の金融情報を盗むだけでなく、IcedID はランサムウェアを含む他の第二段階のマルウェアのドロッパーとして機能することが多く、ネットワーク内を横方向に移動する高度な機能を備えています。

IcedIDは主に、Shatak脅威アクター（別名TA551）がMaaS（Malware as a Service）犯罪事業に使用しています。IcedID 感染は、悪名高い Emotet ファーストステージマルウェアや、世界最大級のマルスパムボットネットである Cutwail マルスパムボットネットによってインストールされることが多い。IcedIDは、CISAの2021年マルウェアトップ10にはランクインしていないものの、斬新で高度な回避テクニックを駆使して頻繁に更新される高度な脅威と見なされています。

Shatak の脅威当事者は、一般的にフィッシングメールを使用して、マクロを含む Microsoft Office ドキュメントの添付ファイル、.iso ファイル、または暗号化された .zip アーカイブを介して IcedID を拡散します。感染後、IcedID の初期ペイロードは標的となるホストシステムを列挙し、最も効果的な感染経路を決定します。初期ペイロードは、ステルス性の高いインジェクション・ポイントを探し、それ自身を持続的にインストールした後、メイン・モジュールを開始する前にシステムの再起動を待ちます。システムの再起動を待つことで、IcedIDはより高度なステルス性を確保し、システムが再起動するたびに正当なプロセスとして現れる。

IcedIDは、以下のようなセカンドステージのテクニックを組み合わせている：

• LOTL（Living Off the Land）アプローチにより、Windowsネイティブツールを使ってターゲットシステムに関する情報を収集する。
• Windows Management Instrumentation (WMI)ユーティリティを活用し、ターゲット・システムにインストールされているアンチウイルスやその他のセキュリティ・ソフトウェアを検出し、成功の確率を高めるために戦略を調整する。
• WindowsのWMI機能を悪用し、Active Directory（AD）ドメインのファイル共有を経由して、ローカルまたはリモートのシステムと対話し、発見と横移動を行う。
• 複数のインジェクション手法を用いて正規のアプリケーションを乗っ取り、検知を回避する。
• スケジュールされたタスクやRuなど、いくつかの方法で永続性を確立する。
• 複数のアプリケーションプログラミングインターフェース（API）関数をフックして、既存のシステムダイナミックリンクライブラリ（DLL）に注入します。
• ランサムウェアやCobalt Strikeのようなハッキングツールを含む他のマルウェアをインポートする。
• DLLハイジャック」として知られる手法で、WindowsネイティブDLLファイルの代わりに実行可能な、高度に難読化されたDLLファイルをパッケージ化してインポートする。
• 設定ファイルとペイロードを暗号化されたブロブとして保存し、ペイロードを隠すためにPNGや ICOなどの他のファイルタイプを使用する。
• Windowsインストーラー(msiexec.exe)プロセスにコマンドを注入し、典型的なMSIアプリケーションとしてコマンド実行を隠蔽する。

IcedID の窃取機能は、非常に効果的な「マン・イン・ザ・ブラウザ」ウェブインジェクション攻撃を使用し、主要なブラウザアプリケーションを感染させることで、攻撃者は被害者のオンラインアクティビティを見たり、ログイン情報を直接盗んだり、あるいは被害者のページ読み込み要求を、人気のある正規のオンラインバンキングや金融ウェブアプリケーションを装った悪意のあるウェブサイトにリダイレクトしたりすることができます。これにより、IcedID の被害者は、オンラインバンキングのログイン情報を提供するよう効果的に騙され、後に詐欺的な取引を実行するために使用されます。

IcedID は急速に進化するマルウェアの一種であり、その開発者は、IcedID のステルス性と回避能力を向上させるために、常に新しい攻撃テクニックを追求しています。全体的な企業レベルのサイバーセキュリティプログラムは、このような脅威に対して最善の保証を提供します。組織は、適切な予防措置を講じることで、IcedID の被害者となる可能性を減らすことができる。

IcedID攻撃から身を守る最も効果的な方法を紹介しよう：

• 暗号化された文書を暗号化解除後すぐにスキャンするエンドポイントセキュリティ製品のインストールと設定
• 重要なシステムを優先して、可能な限りゼロ・トラスト・ソリューションを導入する。
• すべてのネットワーク・インフラストラクチャの脆弱性スキャンと侵入テストを定期的に実施し、発見された脆弱性を早急に修正する。
• すべての重要なサービス、特にオンライン・バンキングと暗号通貨口座に多要素認証を導入する。
• 暗号化されたファイルがもたらすリスクの増大を認識し、そのような文書を開く前に、その文脈を十分に確認する。
• Officeアプリケーションが以下のように設定されていることを確認します。 通知なしですべてのマクロを無効にする または デジタル署名されたマクロ以外を無効にする 設定
• デジタル署名された正規ソフトウェアのみがすべてのエンドポイントにインストールされていることを確認し、定期的にスキャンを行い、不正なソフトウェアの実行をブロックする。
• コンテンツ・プロキシを使ってインターネット利用を監視し、不審なサイトや危険なサイトへのアクセスを制限する。
• フィッシング・テクニックについて担当者を教育するためのユーザー意識向上トレーニングを検討し、不審な電子メールや文書を取り扱うための標準作業手順書（SOP）を作成する。