Dridexマルウェアの検出: SOCコンテンツで積極的に防御

Dridexマルウェアは、約10年間にわたり銀行や金融機関を攻撃しています。2019年には、米国司法省が、Dridexマルウェアの作成に携わり、およそ1億ドルを手にした犯罪活動を導いていたロシア国民に対して訴訟を起こしました。2015年の時点でも、Dridexは英国で約3,050万ドル、米国で1,000万ドルの損失の原因とされていました。

によると Unit 42の報告では、Dridex攻撃の新しいバージョンが、マルウェアの一ヶ月間の非活動期間を経て、2020年9月に再び発見されました。

Dridexマルウェア分析

Dridexトロイ（「Cridex」または「Burgat」とも呼ばれる）を配布する最初のマルスパム攻撃は2011年に確認され、数年以内にこのマルウェアは金融セクターを対象とした最も悪名高いトロイのうちの1つとして確立しました。Dridexスパイウェア攻撃は、EUおよびアジア太平洋地域、特に高所得組織を対象としています。Dridexの様々な修正はXMLまたはバイナリ形式の設定ファイルを適用しており、年を経るごとに高度化しています。Dridexの第4世代の高度なバージョンは、RC4暗号化と以前の修正よりもはるかに厳しいローダー認証プロトコルを使用しています。

Dridexトロイと他のマルウェアをエクスプロイトキットを通じて拡散させる事例がありました。2019年には、悪名高い Spelevoエクスプロイトキット が、銀行トロイを侵害された連絡サイトを通じて配布していました。侵害されたWebサイトのページ上の悪意あるスクリプトは、ホームページを含め、ユーザーをユーザーのオペレーティングシステム、Adobe Flashバージョン、プラグイン、利用可能なパッチ、およびその他の環境特性に応じて、CVE-2018-15982またはCVE-2018-8174のエクスプロイトにリダイレクトしました。 両方のエクスプロイトは、最終的なペイロードとしてDridexを展開するために使用されました。

Dridex マルスパム攻撃とフィッシングメール

このマルウェアは銀行機関およびそのクライアントにとってアクティブで危険であり、フィッシングメールは被害者に悪意のあるコードを配布する最も簡単な方法の1つです。フィッシングメールは、プロフェッショナルな言葉遣いや用語を活用して適切に構成されており、多くの場合、潜在的な被害者をトラップに陥れるために注意を促すメッセージとして構成されています。これらはしばしば正規のビジネスメールアドレスのように見えます。Dridex マルスパム攻撃は、難読化されたマクロを含む可能性のある金融記録の名前を含んだ添付ファイルを配信します。有効になると、悪意のあるマクロがバンキングトロイをダウンロードするトリガーとなり、それが資格情報を収集し、その後、不正な金融取引を行います。

2018年には、 悪名高いスパムキャンペーンで、Dridexバンキングトロイを拡散させる急増がありました。被害者はFTPサーバーに感染するリンクを含む10,000通以上のメールを受け取りました。攻撃者は、MS WordファイルがDDE機能を悪用してDridexをダウンロードし、Excelファイルに悪意のあるマクロを含むことでこれを行いました。したがって、企業のスタッフの成熟した行動は、Dridexトロイの感染のチャンスを大幅に減少させます。

写真提供： Spambrella:

Dridex マルウェアの予防と検出コンテンツ

SOC Prime 脅威検出マーケットプレイス は、5,500以上の業界や金融部門を含む業種の組織に85,000以上のSOCコンテンツアイテムを配信することで、「コードとしての検出」操作を可能にします。セキュリティ担当者は、 “Dridexアクティビティ」コミュニティSigmaルール by Osman Demir を使って最新のDridex攻撃を検出できます。

このSigmaルールは、以下の15のプラットフォーム用の翻訳も提供しています：

• SIEMs: Azure Sentinel, Humio, Splunk, Sumo Logic, ELKスタック, ArcSight, QRadar, Graylog, RSA NetWitness, LogPoint
• EDR: Carbon Black
• Chronicle Security
• Apache Kafka ksqIDB
• Microsoft PowerShell
• Regex Grep

このルールは、以下のATT&CK技術に対応しています：

• 初期アクセス戦術のスピアフィッシング添付技術（T1193）
• 実行戦術のユーザー実行技術（T1204）

Dridex攻撃に関するさらなる脅威検出コンテンツをお探しですか？脅威検出マーケットプレイスは、 Dridexマルウェアに狙いを定めた200以上のSOCコンテンツアイテムや、100以上のコミュニティルールを提供しています。

SOC Prime 脅威検出マーケットプレイスを試してみる準備はできましたか？ 無料でサインアップするか、 脅威バウンティプログラムに参加 して、あなた自身のSOCコンテンツを作成し、世界最大の脅威検出コミュニティに貢献しましょう。