IcedID / BokBot
IcedID / BokBot とは何ですか?
IcedID / BokBot2017 年に登場したモジュール型バンキングトロイ兼ローダーで、Conti や Quantum などのランサムウェア展開の前哨として広く使われた。
IcedID(別名 BokBot)は 2017 年に登場し、北米と欧州の銀行・EC 顧客を主な標的としました。悪意ある ISO、IMG、OneNote 添付、パスワード保護アーカイブ、SEO ポイズニング広告を介して配布され、バックドアアクセス、ブラウザの Web インジェクト、VNC・SOCKS プロキシモジュールを備えます。時間の経過とともに、Cobalt Strike や Atera RMM、Quantum・Conti・Dagon Locker などのランサムウェアを投下する人手介入侵入用ローダーとして使われるようになりました。Microsoft や Proofpoint は、複数のアフィリエイトクラスターが利用する進化するツールキットとして追跡しています。防御側は AppLocker、MOTW、ISO マウント制限、メールのファイル種別ポリシーで配布を抑えます。
● 例
- 01
偽の請求書 ISO による IcedID 感染が 48 時間以内に Quantum ランサムウェアの暗号化へ進展する。
- 02
SOC がメールの ISO / IMG 添付を遮断し、2023 年の IcedID ハンズオン侵入を大幅に減らす。
● よくある質問
IcedID / BokBot とは何ですか?
2017 年に登場したモジュール型バンキングトロイ兼ローダーで、Conti や Quantum などのランサムウェア展開の前哨として広く使われた。 サイバーセキュリティの マルウェア カテゴリに属します。
IcedID / BokBot とはどういう意味ですか?
2017 年に登場したモジュール型バンキングトロイ兼ローダーで、Conti や Quantum などのランサムウェア展開の前哨として広く使われた。
IcedID / BokBot はどのように機能しますか?
IcedID(別名 BokBot)は 2017 年に登場し、北米と欧州の銀行・EC 顧客を主な標的としました。悪意ある ISO、IMG、OneNote 添付、パスワード保護アーカイブ、SEO ポイズニング広告を介して配布され、バックドアアクセス、ブラウザの Web インジェクト、VNC・SOCKS プロキシモジュールを備えます。時間の経過とともに、Cobalt Strike や Atera RMM、Quantum・Conti・Dagon Locker などのランサムウェアを投下する人手介入侵入用ローダーとして使われるようになりました。Microsoft や Proofpoint は、複数のアフィリエイトクラスターが利用する進化するツールキットとして追跡しています。防御側は AppLocker、MOTW、ISO マウント制限、メールのファイル種別ポリシーで配布を抑えます。
IcedID / BokBot からどのように防御しますか?
IcedID / BokBot に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
IcedID / BokBot の別名は何ですか?
一般的な別名: BokBot。
● 関連用語
- malware№ 084
バンキングトロイの木馬
オンラインバンキングの認証情報を盗み、不正送金を承認させるよう設計されたマルウェア。Web インジェクト、フォームグラブ、オーバーレイなどを用いる。
- malware№ 621
ローダ
攻撃の後続段階に向けて環境を整え、追加ペイロード(多くはメモリ上)を読み込んで実行するマルウェア。
- malware№ 900
ランサムウェア
被害者のデータを暗号化したりシステムをロックしたりし、復旧と引き換えに金銭を要求するマルウェア。
- defense-ops№ 193
Cobalt Strike
商用の敵対者シミュレーション プラットフォームで、レッドチーム業務に広く用いられる一方、攻撃者によりポストエクスプロイトや C2 に頻繁に悪用される。
- attacks№ 821
フィッシング
信頼できる組織になりすまし、被害者から認証情報を取得したり送金させたり、マルウェアを実行させたりするソーシャルエンジニアリング攻撃。