新しい IcedID の亜種は、通常のオンライン バンキング詐欺機能を持たずに発見されており、その代わりに侵害されたシステムにさらなるマルウェアをインストールすることに焦点を当てています。
Proofpointによると、これらの新しい亜種は、昨年末以降、3 つの異なる脅威アクターによって 7 つのキャンペーンで使用されていることが確認されており、特にランサムウェアなどのさらなるペイロード配信に焦点を当てています。
Proofpoint は、IcedID ローダーの 2 つの新しい亜種、すなわち「Lite」(2022 年 11 月に最初に確認された) と「Forked」(2023 年 2 月に最初に確認された) を特定しました。どちらも、より限定された機能セットを備えた同じ IcedID ボットを提供します。
2017 年以降、多くのコードを変更することなく多数の悪意のあるキャンペーンに展開されてきた IcedID の不要な機能を削除することで、IcedID はよりステルスでスリムになり、攻撃者が検出を回避するのに役立ちます。
新しい IcedID キャンペーン
2022 年 11 月以降、IcedID ローダーの「Lite」亜種が、 新たに復活した Emotet マルウェアに感染したシステムの第 2 段階のペイロードとして配信されました。
マルウェア ローダーの「フォークされた」バージョンは、2023 年 2 月に初めて登場し、何千ものパーソナライズされた請求書をテーマにしたフィッシング メールを通じて直接配布されました。
これらのメッセージは、Microsoft OneNote の添付ファイル(.one) を使用して悪意のある HTA ファイルを実行し、リモート リソースから IcedID を取得する PowerShell コマンドを実行します。同時に、被害者にはおとり PDF が提供されます。
2 月末、Proofpoint の研究者は、National Traffic and Motor Vehicle Safety Act および米国食品医薬品局 (FDA) からの偽の通知を介して、IcedID “Forked” を配布する少量のキャンペーンを観察しました。
一部の攻撃者は IcedID マルウェアの新しい亜種を使用していますが、他の攻撃者は依然として「標準」の亜種を展開することを選択しており、最新のキャンペーンの 1 つは 2023 年 3 月 10 日のものであることに注意してください。
新しい亜種
「フォークされた」IcedID ローダーは、基本的なホスト情報を C2 に送信してから IcedID ボットを取得するという役割の点で「標準」バージョンと非常に似ています。
ただし、「Forked」は別のファイル タイプ (COM サーバー) を使用し、追加のドメインと文字列復号化コードを備えているため、ペイロードは「標準」バージョンよりも 12KB 大きくなります。
一方、「Lite」ローダの亜種は 20KB と軽量で、ホスト情報を C2 に漏らしません。この変更は、侵害されたシステムをすでにプロファイリングした Emotet と一緒に展開されたため、理にかなっています。
IcedID ボットの「フォークされた」バージョンは、「標準」ボットよりも 64KB 小さく、基本的に同じマルウェアから、Web インジェクション システム、AiTM (中間の敵) 機能、および脅威アクターにリモートを提供するバックコネクト機能を除いたものです。感染したデバイスへのアクセス。
IcedID は通常、攻撃者による初期アクセスに使用されるため、新しい亜種の開発は憂慮すべき兆候であり、ボットがペイロード配信に特化する方向にシフトしていることを示しています。
Proofpoint は、ほとんどの脅威アクターが引き続き「標準」の亜種を使用すると予測していますが、新しい IcedID バージョンの展開は拡大する可能性が高く、2023 年後半にはさらに多くの亜種が出現する可能性があります。
Comments