行业新闻与博客

在当今网络不断变化的威胁环境中，网络安全团队必须始终保持警惕。

有效的保护不仅仅是解决少数漏洞和应对六种常见攻击方法的情况。从 DDoS、勒索软件和 SQL 注入攻击到 DNS 欺骗、零日攻击和会话劫持，组织需要高度警觉并能够对抗攻击者正在开发的越来越多的令人信服的复杂技术。 

今天，任何单一的恶意软件都可以通过多种方式部署。

就 IcedID 而言，这是一种模块化木马，于 2017 年首次被发现，现在是最臭名昭著的恶意软件之一，威胁参与者可以发起以一系列感染技术为基础的活动。 

这正是 Menlo Labs 团队最近几个月观察到的情况，观察了四个重叠的活动。由于 IcedID 攻击链涉及多阶段过程，网络钓鱼电子邮件、虚假 Zoom 安装程序、恶意 .one 文件和恶意广告活动都是看似合理的感染方法，最终可以将受害者引导至以 OneNote 文件、JavaScript 形式托管恶意负载的网站文件、Visual Basic 脚本 (VBS) 文件和可执行文件 (EXE)。

在最新的专栏中，我们将深入探讨 Menlo Labs 观察到的四个 IcedID 活动，并考虑它们的差异和最终目标。

1. HTML 走私活动（2022 年 10 月）

2022 年 10 月，我们观察到威胁行为者使用 HTML 走私来执行 IcedID，该恶意软件通过电子邮件附件传递给潜在受害者，如果打开该附件，将提示下载带有恶意 ISO 文件的受密码保护的 zip 文件.

就上下文而言，一些报告声称 IcedID 专门由前 Conti 成员创建的 Quantum 勒索软件团伙（以前也由 MountLocker、AstroLockers 和 XingLocker 使用）使用。

2. OneNote 活动（2022 年 12 月）

几个月后，该团队在恶意广告活动中遇到了 IcedID 的使用，该活动利用 Google 按点击付费的广告将受害者引导至包含感染脚本的恶意域。

该活动还利用搜索引擎优化 (SEO) 中毒来操纵网站内容和受感染域的代码，以提高在搜索引擎结果页面上的排名。 

这是一种传统 URL 信誉规避 (LURE) 形式  ，旨在提高恶意网页的合法性，使威胁行为者能够更好地捕捉毫无戒心的受害者，同时通过技术和社会工程策略的结合来逃避检测。

3. WebDAV 协议活动（2022 年 12 月）

同月，又发现了一个 IcedID 活动，该活动旨在利用 Microsoft OneNote 的文件共享功能。在此特定实例中，发现威胁行为者在与潜在目标共享文档之前将脚本、EXE、文档和其他恶意文件上传到 OneNote 页面。如果打开这些文件，恶意文件又会在不知不觉中被下载，从而绕过传统的检测引擎，例如倾向于将 OneNote 列为安全软件的防病毒软件。 

该团队还在 2023 年 2 月发现了第二个类似的活动，该活动使用 .url 文件从开放目录 Web 分布式创作和版本控制 (WebDAV) 文件服务器中检索 .bat 文件。在这里，目的是破坏 HTTP 协议扩展并获取和执行恶意软件，威胁参与者能够修改存储在远程 Web 服务器上的文件。

4. Thumbcache 查看器活动（2023 年 3 月）

2023 年 3 月，观察到一些复杂的活动将恶意软件伪装成“Thumbcache Viewer”。在这里，Windows 的用户帐户控制弹出窗口会提示用户，询问他们是否愿意使用伪装成 Thumbcache Viewer 的应用程序对他们的 PC 进行更改。 

具体来说，程序名称被列为：“Thumbcache Viewer 是一种取证工具，有助于分析 Thumbcache 数据库文件的内容。” 如果受害者在弹出窗口中选择“是”，恶意软件就会被执行。 

威胁行为者可以通过多种方式使用 IcedID

危险的不仅仅是威胁行为者可以调用部署 IcedID 的一系列令人信服和无缝的技术。同样，如果恶意软件成功加载到受害者的系统上，它会以各种方式造成严重破坏。

IcedID 用途广泛。它可用于在任何安全措施介入之前执行各种恶意活动，例如：

• 修改浏览器设置
• 将恶意内容注入合法网页
• 收集存储的浏览器凭据
• 将脚本注入现有进程以与威胁参与者主导的 C2 服务器通信
• 下载额外的有效载荷，例如那些能够调用勒索软件攻击的有效载荷
• 窃取敏感信息，例如存储的密码
• 截取用户活动的屏幕截图
• 记录击键以防止密码被盗
• 禁用安全产品，如防病毒软件或防火墙 

对于组织而言，了解此类威胁至关重要。事实上，公司必须优先投资合适的安全解决方案，最好将安全访问安全边缘 (SASE) 框架与加强零信任方法所需的工具、政策和态度相结合。 

这样做，他们将能够确保所有内容都受到检查和企业安全控制，开发一个既能预防又能解决与许多不再适合现代环境的遗留安全工具相关的问题的安全设置。