警告なしで開始されるIcedID

IcedIDはマルウェアです。
2021年に非常に多くの活動が観測されていました。
最近IcedIDのニュースを見ないと思ったら、作戦を少し変更したIcedIDが観測されていました。

従来のIcedIDの手口もいくつかのパターンがありました。
従来は、こういう手口が確認されています。

• メールに添付されたオフィスドキュメントに含まれるマクロで入ってくる
• メールに記載されたURLから入手したzipファイルのなかのJavaScriptで入ってくる

そして今回の手口はこのような感じです。

• メールに添付されたzipファイルのなかのLNKファイルとDLLファイルで入ってくる

もちろんこのzipファイルはパスワード保護されています。
そもそもの攻撃メールも、侵害済みの脆弱なExchangeサーバから送られてきますので、メールのヘッダーを見るなどしても怪しいところは確認できると思えません。
そしてzipのなかにあるLNKファイルの名称は「document」です。
被害者はLNKファイルをダブルクリックするだけです。
LNKをダブルクリックすると、その後はマクロ実行の許可をするかなどの手順を経ることなくDLLのなかに含まれる機構によって自動的にIcedIDが被害者環境に展開されます。
展開するといってもメモリの中です。
展開されたIcedIDは周辺の機器の発見やPCのアンチウイルスの確認など、おなじみの情報収集を繰り広げます。

新しく変更される部分はマルウェアのコード部分だけとは限りません。
攻撃は多数の脆弱性と多数のマルウェア部品と多数の工夫を組み合わせて構成されます。
攻撃者はその構成のなかの一部を少し変更するだけで、これまでと違った特性を持つ攻撃を実現することができるようになります。

開始されてしまった侵入行為の防御は容易ではありません。
できる限り攻撃の始まり部分に近い段階で防御できる状態に保ちたいものです。
ということで今日もわたしはパッチ適用です。

参考記事（外部リンク）：IceID trojan delivered via hijacked email threads, compromised MS Exchange servers
www.helpnetsecurity.com/2022/03/29/hijacked-email-threads/