TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 / 攻撃組織 / 攻撃技術 に関する「個人」の調査・研究

ランサムウェア攻撃の疑いで導入された DroxiDat マルウェア

【要点】

◎DroxiDatはSystemBCの軽量亜種で、Cobalt Strikeとともに発電会社へ展開され、ランサムウェア攻撃の前段階として標的環境の調査や通信中継に使われた可能性が高い (Cyclonis)


【要約】

アフリカ南部の発電会社を狙った攻撃では、DroxiDatと呼ばれるSystemBC系マルウェアの新亜種が使われ、Cobalt Strikeビーコンと並行して展開された。DroxiDatは従来のSystemBCより機能を絞り込み、標的システムの情報収集やSOCKS5プロキシを介した通信中継を主目的としている。SystemBCは過去にもRyukやEgregorなどのランサムウェア攻撃で利用されており、DroxiDatも同様にランサムウェア展開前の足場固めとして使われた可能性がある。背後にはFIN12系の関与も示唆されている。


【ブログ】

◆ランサムウェア攻撃の疑いで導入された DroxiDat マルウェア (Cyclonis, 2023/04/17)
https://www.cyclonis.com/ja/droxidat-malware-deployed-in-suspected-ransomware-attack/


【関連まとめ記事】

全体まとめ
 ◆マルウェア / Malware (まとめ)
  ◆バックドア / Backdoor (まとめ)
   ◆SystemBC (まとめ)

◆Malware: DroxiDat (まとめ)
https://malware-log.hatenablog.com/entry/DroxiDat


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023