近年、猛威を振るっている脅威の1つに「IcedID」がある。もともと被害者から金融関連情報を盗むために用いられるバンキング型トロイの木馬として知られてきたものだが、最近では他のマルウェアファミリーのドロッパー、または初期アクセスブローカー用のツールとして頻繁に利用されるようになっている。
その特徴は、最初の感染から水平展開まで1時間未満で完了する点だ。攻撃者は攻撃全体を通じて、偵察コマンド、認証情報の窃取、Windowsプロトコルの悪用による水平展開、新たにハッキングしたホスト上でのCobalt Strikeの実行というルーティンに従っている。データ持ち出しまでの時間が短く、最初の感染から2日後にデータの持ち出しが始まる場合もあるという。
本資料では他にも、ファイルコンテンツの部分暗号化により検知を難しくする「Royalランサムウェア」と、MSIファイルを利用した攻撃を取り上げ、それぞれの特徴や感染方法について解説する。これら3つの脅威に備えるための推奨事項も紹介しているので、参考にしてほしい。