DroxiDat البرامج الضارة

ارتبط فاعل مجهول مرتبط بالاحتيال بهجوم إلكتروني على شركة لتوليد الطاقة تقع في جنوب إفريقيا. استخدم الهجوم تهديدًا جديدًا للبرامج الضارة تم تتبعه باسم DroxiDat. تم التأكيد على أن البرنامج الضار هو تكرار أحدث لنظام SystemBC الذي تم اكتشافه مسبقًا ويفترض أنه تم نشره كخطوة أولية لهجوم برنامج الفدية المتوقع.

تم نشر DroxiDat ، وهو باب خلفي مجهز بقدرات الوكيل ، بالتزامن مع استخدام Cobalt Strike Beacons داخل البنية التحتية الحيوية. قرر الباحثون أن هذا الحادث وقع في أواخر مارس 2023. وخلال هذا الوقت ، يُعتقد أن عملية الهجوم كانت في مراحلها الأولى ، مع التركيز على تحديد سمات النظام وإنشاء شبكة وكيل باستخدام بروتوكول SOCKS5 لتسهيل الاتصال مع القيادة - والتحكم (C2) البنية التحتية.

استخدم منشئو DroxiDat البرامج الضارة SystemBC كأساس

SystemBC عبارة عن برنامج ضار للسلعة وأداة إدارية عن بُعد مشفرة في C / C ++. ظهر التهديد في البداية في عام 2019. وتتضمن وظيفته الأساسية إنشاء وكلاء SOCKS5 على الأجهزة المخترقة. تعمل هذه الوكلاء كقنوات لحركة المرور الوهمية المرتبطة بأشكال أخرى من البرامج الضارة. أدت التكرارات الحديثة لهذا البرنامج الضار المحدد إلى توسيع القدرات ، مما يتيح استرجاع وتنفيذ حمولات التهديد الإضافية.

تم توثيق النشر التاريخي لنظام SystemBC كقناة لهجمات برامج الفدية جيدًا. في كانون الأول (ديسمبر) 2020 ، كشف الباحثون عن حالات لجوء مشغلي برامج الفدية إلى SystemBC باعتباره بابًا خلفيًا متاحًا يعتمد على Tor لتنفيذ إصابات Ryuk و Egregor Ransomware .

تكمن جاذبية SystemBC في فعاليتها في مثل هذه العمليات ، مما يسمح بالمشاركة المتزامنة مع أهداف متعددة من خلال الإجراءات الآلية. وهذا بدوره يسهل نشر برامج الفدية عبر أدوات Windows الأصلية ، إذا تمكن المهاجمون من الحصول على بيانات الاعتماد المناسبة.

يمكن استخدام DroxiDat كنذير لهجمات برامج الفدية

تنشأ اتصالات DroxiDat لنشر برامج الفدية من حدث متعلق بالرعاية الصحية كان DroxiDat متورطًا فيه. تم الكشف عن هذا الحدث خلال إطار زمني مماثل يُعتقد أنه تم فيه توزيع Nokoyawa Ransomware بالتزامن مع Cobalt Strike.

البرمجيات الخبيثة المستخدمة في هذا الهجوم لها طبيعة انسيابية وفعالة على عكس SystemBC الأصلي. لقد جرد مطوروها وظائفها ، وتخلصوا من معظم الميزات الموجودة في SystemBC ، لتخصيص وظيفتها كملف تعريف أساسي للنظام. يتضمن دوره استخراج المعلومات ونقلها إلى خادم بعيد.

نتيجة لذلك ، يفتقر DroxiDat إلى القدرة على تنزيل حمولات البرامج الضارة الإضافية وتنفيذها. ومع ذلك ، يمكنه إنشاء روابط مع المستمعين عن بُعد ، مما يسهل نقل البيانات ثنائي الاتجاه ، ويكون قادرًا على معالجة سجل النظام للجهاز المصاب.

لا يزال تحديد الجهات الفاعلة في التهديد المسؤولين عن الهجمات غير معروف. ومع ذلك ، تشير المؤشرات الحالية بقوة إلى احتمال تورط مجموعات قراصنة روسية ، خاصة FIN12 (المعروفة أيضًا باسم Pistachio Tempest). تشتهر هذه المجموعة بنشر SystemBC جنبًا إلى جنب مع Cobalt Strike Beacons كجزء من استراتيجيتها لتقديم برامج الفدية.