IcedIDはマルウェアです。
2021年に非常に多くの活動が観測されていました。
最近IcedIDのニュースを見ないと思ったら、作戦を少し変更したIcedIDが観測されていました。
従来のIcedIDの手口もいくつかのパターンがありました。
従来は、こういう手口が確認されています。
- メールに添付されたオフィスドキュメントに含まれるマクロで入ってくる
- メールに記載されたURLから入手したzipファイルのなかのJavaScriptで入ってくる
そして今回の手口はこのような感じです。
- メールに添付されたzipファイルのなかのLNKファイルとDLLファイルで入ってくる
もちろんこのzipファイルはパスワード保護されています。
そもそもの攻撃メールも、侵害済みの脆弱なExchangeサーバから送られてきますので、メールのヘッダーを見るなどしても怪しいところは確認できると思えません。
そしてzipのなかにあるLNKファイルの名称は「document」です。
被害者はLNKファイルをダブルクリックするだけです。
LNKをダブルクリックすると、その後はマクロ実行の許可をするかなどの手順を経ることなくDLLのなかに含まれる機構によって自動的にIcedIDが被害者環境に展開されます。
展開するといってもメモリの中です。
展開されたIcedIDは周辺の機器の発見やPCのアンチウイルスの確認など、おなじみの情報収集を繰り広げます。
新しく変更される部分はマルウェアのコード部分だけとは限りません。
攻撃は多数の脆弱性と多数のマルウェア部品と多数の工夫を組み合わせて構成されます。
攻撃者はその構成のなかの一部を少し変更するだけで、これまでと違った特性を持つ攻撃を実現することができるようになります。
開始されてしまった侵入行為の防御は容易ではありません。
できる限り攻撃の始まり部分に近い段階で防御できる状態に保ちたいものです。
ということで今日もわたしはパッチ適用です。
参考記事(外部リンク):IceID trojan delivered via hijacked email threads, compromised MS Exchange servers
www.helpnetsecurity.com/2022/03/29/hijacked-email-threads/
この記事をシェア |
---|
一緒によく読まれている記事
-
サイバー領域
- コラム:MITRE ATT&CK(マイターアタック)でセキュリティカバレージを可視化しよう 第1回 MITRE ATT&CKの概要
- 本連載は「MITRE ATT&CK(マイターアタック)」および、「MITRE ATT&CKフレームワーク(マイターアタックフレームワーク)」に興味をもつ方に向けて...
-
サイバー領域
- APIキーや認証情報といった機密情報を
管理・保管するためのベストプラクティス
[クイックリファレンス(PDF形式)付き] - 本記事は、GitHubから流出した機密情報をリアルタイム検知するサービスを提供するGitGuardian社のホームページで公開されたレポートを日本語に翻訳したものです。 (原題)...
- APIキーや認証情報といった機密情報を