기술 지원
문서
로그인
문의하기
IceID 멀웨어가 Active Directory 도메인에 침투합니다.
2023년 1월 23일 TuxCare 홍보팀
주목할 만한 IcedID 멀웨어 공격에서 공격자는 24시간 이내에 피해자의 Active Directory 도메인에 영향을 미쳤으며, 초기 감염에서 측면 이동으로 전환하는 데 60분도 걸리지 않았습니다.
사이버리즌의 연구원들은 새로운 공격의 감염 체인이 ZIP 아카이브 기반 ISO 이미지 파일로 시작하여 IcedID 페이로드가 실행되는 것을 발견했습니다. 그런 다음 IcedID는 예약된 작업을 실행하고 원격 서버에 연결하여 코발트 스트라이크 비콘 및 기타 다음 단계 페이로드를 다운로드함으로써 지속성을 확립합니다. 측면 네트워크 이동 후, IcedID는 Atera 에이전트를 배포하기 전에 코발트 스트라이크 비콘을 모든 워크스테이션에 배포합니다.
복봇이라고도 알려진 IcedID는 위협 그룹 TA551과 연결된 뱅킹 트로이 목마로, 2017년부터 피해자의 금융 정보를 훔치는 데 사용되어 왔습니다. 최근에는 다른 멀웨어 군의 드롭퍼와 초기 액세스 브로커의 도구로 사용되기도 한다고 Cybereason은 밝혔습니다.
사이버리즌에 따르면 공격자들은 다른 그룹으로부터 일부 전술, 기술 및 절차(TTP)를 차용했으며, 콘티(Conti), 락빗(Lockbit), 파이브핸즈(FiveHands) 등의 IcedID 공격에서 발견된 "여러" TTP를 지적했습니다.
사이버리즌은 블로그 게시물에서 공격자가 감염된 컴퓨터에서 "정찰 명령, 자격 증명 도용, Windows 프로토콜을 악용한 측면 이동, 코발트 스트라이크 실행"의 루틴을 따랐다고 밝혔습니다. 피해자의 데이터 유출은 최초 감염 이틀 후부터 시작되었습니다.
이 경우의 배포 메커니즘은 피해자가 아카이브에 액세스할 때 발생합니다. 피해자가 ISO 파일을 더블클릭하면 가상 디스크가 생성됩니다. 그런 다음 피해자는 가상 디스크로 이동하여 표시되는 유일한 파일, 즉 LNK 파일을 선택합니다. 그런 다음 LNK 파일은 임시 폴더에 DLL을 배치하는 배치 파일을 실행하고 rundll32.exe와 함께 실행합니다. Rundll32.exe는 DLL을 실행하여 IcedID 관련 도메인에 대한 네트워크 연결을 설정하고 IcedID 페이로드를 다운로드합니다. IcedID 페이로드가 최종적으로 프로세스에 로드됩니다.
이 글의 출처는 TheHackerNews의 기사
유튜브 채널에서 이 뉴스를 시청하세요: https://www.youtube.com/watch?v=GjMOF4F4uSo
