DoppelDridex
Dridexバンキング型トロイの木馬の新しい亜種が、DOPPELSPIDERサイバー犯罪グループに起因する攻撃キャンペーンに展開されていることが確認されています。 Dridexの新しいバージョンはDoppelDridexという名前で、SlackやDiscordなどの有名なコンテンツ配信ネットワーク(CDN)から取得されます。攻撃者はまた、Cobalt Strikeなどの追加の第2ステージのペイロードを展開し、侵害されたシステムへのバックドアアクセス、侵害されたネットワーク内での横方向の移動の潜在的な機会を確保し、 GriefRansomwareを展開することで攻撃をエスカレートします。
攻撃は、破損したMicrosoft Excel Binary Format(XLSB)ファイルを含むベイトメールの配布から始まります。疑いを持たない被害者を誘惑して添付ファイルを開くように、電子メールには通常、ユーザーに関連する重要な請求書または税関連情報がファイル内に含まれていることを示唆するテキストが含まれています。 VBScriptの実行中に破損したマクロの結果をトリガーすると、攻撃者によって制御されているSlackまたはDiscordCDNインフラストラクチャからDoppelDridexペイロードが取得されます。
脅迫キャンペーンの一環としてDiscordの使用が増加しており、サイバー犯罪者もペイロードのステージングと同じ目的でSlackを使用しようとしているようです。これらの人気のあるCDNは、プロキシやその他のネットワークベースの制御システムによってブロックされる可能性が低くなります。
