DoppelDridex

DoppelDridex 설명

Dridex 뱅킹 트로이 목마의 새로운 변종은 DOPPEL SPIDER 사이버 범죄 그룹으로 인한 공격 캠페인에 배포된 것으로 관찰되었습니다. Dridex 의 새 버전은 DoppelDridex로 명명되었으며 Slack 및 Discord와 같은 잘 알려진 CDN(콘텐츠 전송 네트워크)에서 가져옵니다. 위협 행위자는 또한 Cobalt Strike 와 같은 추가 2단계 페이로드를 배포하여 손상된 시스템에 대한 백도어 액세스를 보장하고 침해된 네트워크 내에서 잠재적인 측면 이동 기회를 보장하고 Grief Ransomware 를 배포하여 공격을 확대했습니다.

공격은 손상된 XLSB(Microsoft Excel Binary Format) 파일을 포함하는 미끼 이메일 배포로 시작됩니다. 순진한 피해자가 첨부 파일을 열도록 유인하기 위해 이메일에는 일반적으로 사용자와 관련된 중요한 송장 또는 세금 관련 정보가 파일에 포함되어 있음을 암시하는 텍스트가 포함됩니다. VBScript 실행에서 손상된 매크로의 결과를 트리거하면 공격자가 제어하는 Slack 또는 Discord CDN 인프라에서 DoppelDridex 페이로드를 검색합니다.

위협적인 캠페인의 일환으로 Discord를 사용하는 사례가 증가하고 있으며 사이버 범죄자들도 페이로드를 스테이징하는 동일한 목적으로 Slack을 사용하려고 하는 것으로 보입니다. 이러한 인기 있는 CDN은 프록시 또는 기타 네트워크 기반 제어 시스템에 의해 차단될 가능성이 적습니다.