尽管Dridex在数量上继续打击其他通过电子邮件传播的恶意软件(Proofpoint的研究人员正在追踪一场似乎是Dridex迄今为止规模最大的活动),但Dridex背后的行动者正在探索新的传播方式,并进一步扩大他们的地理足迹。就在本周,Proofpoint的研究人员观察到,Dridex通过Bedep木马被丢弃,而Bedep木马又被Angler丢弃。下面的图1显示了具有此感染链的活动流。
图1:新闻显示新型Dridex感染链(垂钓者ek - >贝pep - > Dridex)
这种变化让人想起我们在11月观察到的信号当Dridex和Shifu都是由钓鱼者和钻机开发套件而不是垃圾邮件机器人分发时(Shifu正常,但对于Dridex而言远不太常见),尽管在当前情况下,垃圾邮件卷没有下降。Dridex分布只是由ek和卧具增强。
下面的图2显示了过去一个月的Dridex垃圾邮件数量,反映了我们上周描述了假期的下降以及上周恢复了异常高的成交量。
图2:在延长的假期休息后记录DRIDEX卷
然而,可能同样重要的是,新的僵尸网络的使用,更广泛的国际分销,以及新的垃圾邮件散布者分销Dridex。例如,目前创纪录的垃圾邮件数量主要是针对美国的目标,而Dridex垃圾邮件的发送者最近已将大部分注意力转向了英国和德国。
例如,一个特定的参与者最近发起了一项Dridex活动,该活动使用了一个相对较新的僵尸网络(同时重用了旧的僵尸网络125 ID),通过两个不同的消息附件分发Dridex垃圾邮件。随着活动的进行,演员从直接投放Dridex转向投放Betabot,而Betabot又被用来投放Dridex和其他有效载荷。虽然这个角色对Betabot(或其他各种恶意软件)来说并不新鲜,但这似乎是第一次发布Dridex。下面的图3显示了该参与者在过去6个月中的所有消息活动。最后一个冲刺是Dridex。
图3:一个使用各种恶意软件的中档角色,最近通过Betabot发布了Dridex
在最近的另一场运动中,构建研究人员观察Bedep木马下降Dridex僵尸网络,没有共享的指挥和控制基础设施如预期,而是与c2在区域基础设施,强化的概念越来越Dridex足迹和后端能够提供我们各种卷和多样化的目标目前观察。
正如我们在10月底所指出的那样,Dridex还没有死-事实上,远非如此。参与者正在使用新的僵尸网络,复活旧的僵尸网络,使用开发工具包,扩展命令和控制基础设施,并使用以前没有用于分发Dridex的恶意软件。他们瞄准了新的地区,发起了前所未有的垃圾邮件攻击,利用复杂的技术来躲避传统的防御。的数量、种类和速度像今天的活动有关,与客户看到多达10%的入站邮件数量Dridex,使重点很清楚:今年可能是新的和机制可能是进化的,但我们没有看到2015年Dridex结束。
订阅校对点博客