Cybereason の新しい調査では、企業ユーザーの初期感染を悪用するサイバー犯罪者のスピードが明らかになりました。
参照:モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
ジャンプ先:
- IcedID マルウェアの脅威とは何ですか?
- IcedID: 侵害の最初のポイント
- バンキング型トロイの木馬の加速攻撃タイムライン
- マルウェアがデータを盗む仕組み
- この脅威から組織を守る方法
IcedID マルウェアの脅威とは何ですか?
IcedIDは、2017年以降サイバー犯罪者によって積極的に使用されているバンキング型トロイの木馬であり、そのコードの一部は、2015年にソースコードが漏洩したPonyとして知られる別の広く使用されているマルウェアファミリーと共有されています。
IcedID は主にユーザーを感染させるために作成されたスパムメールを通じて配布されましたが、2023 年の初めには、Zoom ソフトウェアのアップデートを拡散するように見せかけたフィッシング キャンペーンによっても配信されました。
IcedID は、FBI によって暴露されたように、悪名高い Emotet および Trickbot インフラストラクチャによって拡散されたペイロードとして配布されたり、ランサムウェア攻撃を実行したりすることも頻繁に行われています。
IcedID: 侵害の最初のポイント
この攻撃キャンペーンでは、ユーザーはパスワードで保護されたISOファイルを含むアーカイブを受信し、開きます。ISOファイルをクリックすると、仮想ディスクが作成されます。ユーザーが唯一表示されているファイル(LNKファイル形式)をクリックすると、LNKファイルがバッチファイルを起動し、感染プロセスを開始します。
これにより、一時ディレクトリで実行されるダイナミックリンクライブラリ(DLL)ファイルがドロップされます。その後、DLLファイルはリモートサーバーからIcedIDペイロードをダウンロードし、プロセスにロードします(図A)。
図A
次に、マルウェアは感染したシステムの正規の net.exe バイナリを使用して、ドメイン、ワークステーション、および Domains Admins グループのメンバーに関する情報を収集します。
永続性は、コンピューター上にスケジュールされたタスクを作成することによって確立され、このタスクは 1 時間ごとおよびログオン操作ごとにマルウェアを実行します。
バンキング型トロイの木馬の加速攻撃タイムライン
Cybereason の研究者は、企業への初期アクセスを悪用する際のサイバー犯罪者の速度を明らかにしました。
IcedIDによる初期感染が完了すると、対話型コマンドライン(cmd.exe)セッションが開始され、感染したシステムに追加ファイルがダウンロードされます。初期感染から7分後、感染したコンピュータ上でCobalt Strikeビーコンが使用されます。Cobalt Strikeコードは、Kerberosとのやり取りと悪用を目的として設計されたツールであるRubeusを読み込み、システムから追加のネットワークデータを収集します。攻撃者は、初期感染から15分後、有効なKerberosチケットを悪用する既知の手法であるKerberoastingを介して、サービスアカウントの認証情報を取得します。
感染から57分後、ラテラルムーブメントが開始されます。攻撃者はシステムから正規のコマンドラインツールping.exeを使用してホストの稼働状態を確認し、次にwmic.exeを介してリモートワークステーション上で同じCobalt Strikeペイロードを実行します。このプロセスは複数回繰り返され、そのたびに異なるエンドポイントまたはサーバーに感染します。ネットワークインフラストラクチャの大部分がスキャンされます。
DCSync攻撃は、最初の侵入から19時間後に実行されます。この手法により、攻撃者はドメインコントローラになりすまして他のドメインコントローラからパスワードハッシュを取得し、標的企業のあらゆるドメインへの足掛かりを築くことができます。
情報流出開始直前、そして最初の感染から46時間後、攻撃者は正規のAteraリモート管理ツールを複数のマシンに展開します。このツールを複数のコンピュータに導入することで、IcedIDマルウェアが検出され、コンピュータからマルウェアが除去された場合でも、攻撃者はシステムに再びアクセスできるようになります。
マルウェアがデータを盗む仕組み
IcedIDマルウェアは複数のインターネットブラウザに侵入し、認証情報、セッションCookie、保存された情報を盗みます。さらに、攻撃者は正規のrcloneファイル同期ツールを用いて、選択した複数のディレクトリを暗号化し、Megaファイル共有サービスに送信しました。このデータ窃取は、最初の侵入から約50時間後に開始されます。
Cybereasonは、脅威アクターが標的ネットワーク内の複数のコンピュータを横方向に移動させ、そこからデータを盗み出す速度がいかに速いかを示しています。報告されている手法のいくつかは人間の介入なしに自動的に実行できますが、横方向の移動とデータの盗み出しにはより多くの人的リソースが必要です。脅威アクターがこれらすべてをわずか50時間で実行できるという事実は、懸念すべき点です。
レポートでは、最終段階はデータの窃取であると指摘されていますが、この攻撃は容易にランサムウェア攻撃の要求につながる可能性があります。サイバーリーズンが説明したツールとTTPは、本レポートで記録されている攻撃と同様の方法でIcedID、Cobalt Strike、PowerShell、Rcloneを使用したOnePercentグループの攻撃を彷彿とさせます。
この脅威から組織を守る方法
一般的な脆弱性を悪用した侵害を防ぐため、すべてのオペレーティングシステムとソフトウェアを最新の状態に更新し、パッチを適用してください。ネットワーク上のユーザーがISOファイルを開くことを、ユーザーが本当に必要とする場合を除き許可しないでください。このファイル形式は管理者のみに許可する必要があります。
最後に、不審な行動を検知するために、すべてのエンドポイントとサーバーにセキュリティソリューションを導入する必要があります。特に、依然として最も蔓延している初期感染経路であるメールによる脅威について、全従業員にセキュリティ意識を高める必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
