DroxiDat злонамерен софтуер

Неидентифициран актьор, свързан с измама, е свързан с кибератака срещу компания за производство на електроенергия, разположена в Южна Африка. Атаката използва нова заплаха от злонамерен софтуер, проследена като DroxiDat. Потвърдено е, че злонамереният софтуер е по-нова итерация на открития по-рано SystemBC и се предполага, че е внедрен като предварителна стъпка за очаквана атака на ransomware.

Разгръщането на DroxiDat, задна врата, оборудвана с прокси възможности, се случи едновременно с използването на Cobalt Strike Beacons в жизненоважната инфраструктура. Изследователите са установили, че този инцидент се е случил в края на март 2023 г. През това време се смята, че операцията по атаката е била в ранните си фази, като се е фокусирала върху профилирането на системата и създаването на прокси мрежа, използваща протокола SOCKS5 за улесняване на комуникацията с Командването -и-контрол (C2) инфраструктура.

Създателите на DroxiDat са използвали злонамерения софтуер SystemBC като основа

SystemBC е зловреден софтуер и инструмент за отдалечено администриране, кодиран на C/C++. Заплахата първоначално се появи през 2019 г. Нейната основна функция включва установяване на SOCKS5 проксита на компрометирани машини. Тези проксита служат като канали за фалшив трафик, свързан с други форми на зловреден софтуер. Последните повторения на този конкретен злонамерен софтуер имат разширени възможности, което позволява извличането и изпълнението на допълнителни заплахи.

Историческото внедряване на SystemBC като канал за атаки с ransomware е добре документирано. През декември 2020 г. изследователите разкриха случаи на оператори на рансъмуер, прибягващи до SystemBC като леснодостъпна Tor-базирана задна врата за внедряване на инфекции с Ryuk и Egregor Ransomware .

Привлекателността на SystemBC се крие в неговата ефективност в рамките на такива операции, позволявайки едновременно ангажиране с множество цели чрез автоматизирани процедури. Това от своя страна улеснява внедряването на ransomware чрез собствени инструменти на Windows, ако нападателите успеят да получат подходящите идентификационни данни.

DroxiDat може да се използва като предшественик на Ransomware атаки

Връзките на DroxiDat с внедряването на рансъмуер произхождат от събитие, свързано със здравеопазването, в което е участвал DroxiDat. Това събитие се разигра по време на подобна времева рамка, в която се смята, че рансъмуерът Nokoyawa е бил разпространен във връзка с Cobalt Strike.

Зловреден софтуер, използван в това нападение, притежава рационализирана и ефективна природа за разлика от оригиналния SystemBC. Неговите разработчици са намалили функционалността му, премахвайки повечето от функциите, открити в SystemBC, за да специализират функцията му като основен системен профилър. Неговата роля включва извличане на информация и предаването й на отдалечен сървър.

В резултат на това DroxiDat няма способността да изтегля и изпълнява допълнителни полезни натоварвания от зловреден софтуер. Въпреки това, той може да установи връзки с отдалечени слушатели, улеснявайки двупосочния трансфер на данни, и е способен да манипулира системния регистър на заразеното устройство.

Идентификацията на заплахите, отговорни за атаките, остава неизвестна. Въпреки това съществуващите индикации силно предполагат потенциалното участие на руски хакерски групи, особено FIN12 (известен също като Pistachio Tempest). Тази група е известна с внедряването на SystemBC заедно с Cobalt Strike Beacons като част от тяхната стратегия за доставяне на рансъмуер.