ドリデックス

Dridex（別名Bugat、Cridex）は、 Microsoft Wordのマクロを利用したシステムを通じて銀行の認証情報を盗むことに特化したマルウェアの一種です。^{[ 5 ]}

このマルウェアは主に、悪意のある電子メールの添付ファイルを Word またはExcelで開くWindowsユーザーを標的とし、Dridex をダウンロードするマクロを起動してシステムに感染させ、ユーザーを銀行盗難の危険にさらします。

Dridexは、感染したマシンから銀行情報^{[ 6 ]}を盗み出し、即座に不正な取引を開始するように設計されています。キーボードロガーをインストールし、インジェクション攻撃を実行して機密データを取得します。

Dridexは、2012年に登場した、以前のCridexとBugatというバンキング型トロイの木馬の進化形です。前身のコードの要素を組み込んでいましたが、隠蔽性と冗長性を高めるためにピアツーピア（P2P）通信アーキテクチャを導入しました。^{[ 7 ]}

2015年までに、Dridexは最も蔓延する金融マルウェアの一つとなり、特にメールベースのフィッシング攻撃や悪意のあるマクロを含んだ添付ファイルを通じて銀行の認証情報を狙うようになりました。^{[ 7 ]}同年、Dridexによる窃盗額は英国で2,000万ポンド、米国で1,000万ドルと推定され、20カ国以上で攻撃が報告されました。2016年9月初旬、研究者らは、このマルウェアが暗号通貨ウォレットを標的にし始めたことを確認しました。^{[ 8 ]}

2017年、DridexはMicrosoft Wordのゼロデイ脆弱性を悪用した大規模なフィッシングキャンペーンを通じて拡散しました。この手法により、マクロを有効にすることなく感染が可能となり、世界中で数百万人のユーザーに影響を与えました。^{[ 9 ]}同じ頃、Dridexの新しいバージョンは、Microsoft OfficeとWordPadの脆弱性を悪用し、リモートコード実行を可能にし始めました。^{[ 7 ]}

2019年12月、米国当局は、グループのリーダーとされる人物を含む、Dridexマルウェアを作成したとみられる2人の容疑者に対して訴訟を起こした。^{[ 10 ]}

2022年、IBMの研究者はRaspberry RobinワームとDridexマルウェアローダーの類似点を発見しました。比較分析の結果、両者は類似した文字列デコードアルゴリズム、解析回避技術、ペイロード復号ルーチンを使用していることが示されました。IBMは、Evil CorpがRaspberry Robinのインフラストラクチャを利用して攻撃を実行している可能性があると示唆しました。^{[ 11 ]}

Dridexマルウェアの背後にいるグループ、Evil Corp（別名Dridex、INDRIK SPIDER ）は、 2009年から活動しているロシアのハッキンググループです。 ^{[ 12 ]} Evil Corpは、典型的なサイバー犯罪ネットワークではなく、伝統的な組織犯罪グループに似た階層構造で活動していました。リーダーのマクシム・ヤクベツは、父親、兄弟、いとこなど家族の協力を得て、モスクワを拠点に活動していました。グループはマネーロンダリングに多額の投資を行い、緊密な内部文化を維持し、定期的に交流したり、休暇を過ごしたりしていました。^{[ 13 ]}ヤクベツは、後に米国で逮捕され投獄されたJabber Zeusハッキンググループの中心メンバー、あるいはリーダーであるヴィアチェスラフ・ペンチュコフの個人的な友人でした。西側諸国でしばしば非難されているように、ロシアのハッキンググループがロシアの治安機関と協力関係にあったかどうか尋ねられたペンチュコフは、「もちろんです」と答えました。^{[ 14 ]}

2019年、米国連邦捜査局（FBI）は、40カ国に影響を与えたハッキン​​グを通じて1億ドル以上を恐喝または窃盗したとして、グループのメンバーとされる9人の名前を公表した。 ^{[ 15 ]}同年、米国財務省はグループに制裁を課し、 ^{[ 16 ]}外国資産管理局（OFAC）は米国内の個人に対してグループとの取引を禁止した。^{[ 17 ]}米国外の人物は、グループとの重要な取引を助長したとして二次制裁の対象となる可能性がある。^{[ 17 ]}米国政府はまた、メンバー2人を起訴し、逮捕につながる情報に対して500万ドルの報奨金を提供した。^{[ 17 ]}

2019年の米国と英国の制裁措置の結果、Evil Corpは戦術の変更を余儀なくされました。監視の強化と法的リスクに直面したメンバーは、オンラインアカウントを放棄し、活動を制限し、Dridexマルウェアの使用を中止しました。グループはSocGholishなどの代替アクセスツールを導入し、WastedLockerやHadesなどのランサムウェアをローテーションで展開することで、身元を隠蔽し、活動を継続しました。^{[ 13 ]}

2021年11月、BBCはEvil Corpのリーダーとされる2人がロシアで公然と暮らしていると報じた。^{[ 15 ] [ 18 ]}翌月、Emsisoftのアナリストは、当初REvilによるものとされていたランサムウェア攻撃がEvil Corpによるものである可能性を示唆した。^{[ 17 ]}

2022年6月、サイバーセキュリティ企業Mandiantは、Evil CorpがLockBitなどの市販のランサムウェアを使用して身元を偽装し、制裁を回避し始めたと報告しました。^{[ 17 ]} Mandiantはまた、このグループを脅威アクターUNC2165と関連付けました。^{[ 17 ]}

2022年から2024年にかけて、Evil Corpは戦術を多様化し、LockBitを含む他のランサムウェアグループと提携を始めました。同グループは、SocGholishを主要な初期アクセスツールとして使い続けました。英国の国家犯罪庁（NCA）は、Evil Corpの幹部であるアレクサンドル・リジェンコフを、ランサムウェア攻撃に関与したLockBitの関連組織として特定しました。2024年2月、LockBitはNCA主導の国際法執行機関による作戦「オペレーション・クロノス」によって阻止されました。Evil Corpのメンバーの中には、ロシアで活動を続けている者もいます。2022年12月、イゴール・トゥラシェフと彼の会社は、ワグナーグループが主催したハッカソンで3位に入賞しました。^{[ 13 ]}

• ボットネット
• コンフィッカー
• ゲームオーバー ゼウス
• トバール作戦
• コンピュータウイルスとワームのタイムライン
• タイニーバンカートロイの木馬
• トルピグ
• Zeus（マルウェア）
• ゾンビ（コンピュータサイエンス）