IcedIDは、かつて大きな話題になっていました。
最近はあまり目にすることがないように思いますが、活動が停止しているわけではありません。
現在もその動きを変えながら活動を続けています。
最近のIcedIDの様子をみると、いくつか活動方針が変化しているような点が確認されています。
- C2に利用するドメインのエイジング
かつて登録されてから数日などの新しいドメインが攻撃に利用されることが多かったことから、こういった新しいドメインの利用は警戒されるようになりました。
これに対応するためか従来のIcedIDはC2として利用する前にドメインを寝かせる動きをしていました。
C2に使おうとするドメインのエイジングのようなものです。
以前はこの寝かせる期間が平均で31日程度とられていました。
しかし2022年9月頃に確認されている動きでは、この期間が大幅に短縮され、登録してから数日でC2として利用されていることが確認されています。
もはやエイジングはしていないという感じがします。
背景は定かではありませんが、活動方針に変化があったようです。
配送方法についても変化が見られました。
次のような配送パターンが使用されています。
- パスワードで保護された ZIP -> ISO -> LNK -> JS -> [CMD または BAT] -> DLL
- パスワードで保護された ZIP -> ISO -> CHM -> DLL
- マクロが混入された悪意のあるWordまたはExcelドキュメント
- PrivateLoaderのペイパーインストールサービスを介して直接配信
配送方法に変化を持たせることに何を期待しているのでしょう。
検証されて回避される危険性を下げるのが目的でしょうか。
それともより効果的な配送方法がなにかを検証しているのでしょうか。
もっと別の意味もあるのかもしれません。
脅威の側は日々変化していきます。
防御側も常に新しい情報を入手し変化に対応していくことが重要ということでしょうか。
参考記事(外部リンク):A Visualizza into Recent IcedID Campaigns
www.team-cymru.com/post/a-visualizza-into-recent-icedid-campaigns
| この記事をシェア |
|
|---|
