Programari maliciós DroxiDat

Un actor no identificat relacionat amb el frau s'ha associat amb un ciberatac a una empresa de generació d'energia ubicada al sud d'Àfrica. L'atac va utilitzar una nova amenaça de programari maliciós rastrejat com a DroxiDat. Es confirma que el programari maliciós és una iteració més nova de SystemBC descobert anteriorment i, presumiblement, es desplega com a pas preliminar per a un atac de ransomware previst.

El desplegament de DroxiDat, una porta posterior equipada amb capacitats de proxy, es va produir simultàniament amb la utilització de Cobalt Strike Beacons dins de la infraestructura vital. Els investigadors han determinat que aquest incident va passar a finals de març de 2023. Durant aquest temps, es creu que l'operació d'atac es trobava en les seves primeres fases, centrada en l'elaboració de perfils del sistema i l'establiment d'una xarxa proxy que utilitza el protocol SOCKS5 per facilitar la comunicació amb el comandament. Infraestructura -i-Control (C2).

Els creadors de DroxiDat van utilitzar el programari maliciós SystemBC com a base

SystemBC és un programari maliciós bàsic i una eina administrativa remota codificada en C/C++. L'amenaça va sorgir inicialment el 2019. La seva funció principal consisteix a establir servidors intermediaris SOCKS5 en màquines compromeses. Aquests servidors intermediaris serveixen com a conductes per al trànsit fals relacionat amb altres formes de programari maliciós. Les iteracions recents d'aquest programari maliciós en particular han ampliat les capacitats, permetent la recuperació i l'execució de càrregues útils d'amenaça addicionals.

El desplegament històric de SystemBC com a conducte per als atacs de ransomware ha estat ben documentat. El desembre de 2020, els investigadors van donar a conèixer casos d'operadors de ransomware que van recórrer al SystemBC com a porta posterior basada en Tor fàcilment disponible per implementar infeccions de Ryuk i Egregor Ransomware .

L'atractiu de SystemBC rau en la seva eficàcia dins d'aquestes operacions, que permet la participació simultània amb múltiples objectius mitjançant procediments automatitzats. Això, al seu torn, facilita el desplegament de ransomware mitjançant eines natives de Windows, si els atacants aconsegueixen obtenir les credencials adequades.

DroxiDat es pot utilitzar com a precursor dels atacs de ransomware

Les connexions de DroxiDat amb el desplegament de ransomware provenen d'un fet relacionat amb l'assistència sanitària en què va participar DroxiDat. Aquest esdeveniment es va desenvolupar durant un període de temps similar en què es creu que el Nokoyawa Ransomware es va distribuir juntament amb Cobalt Strike.

El programari maliciós utilitzat en aquest assalt té una naturalesa eficient i eficient en contrast amb el SystemBC original. Els seus desenvolupadors han reduït la seva funcionalitat, eliminant la majoria de les funcions que es troben a SystemBC, per especialitzar la seva funció com a perfilador bàsic del sistema. La seva funció consisteix a extreure informació i transmetre-la a un servidor remot.

Com a resultat, DroxiDat no té la capacitat de descarregar i executar càrregues útils addicionals de programari maliciós. Tanmateix, pot establir enllaços amb oients remots, facilitant la transferència de dades bidireccional i és capaç de manipular el registre del sistema del dispositiu infectat.

Es desconeix la identificació dels actors d'amenaça responsables dels atacs. No obstant això, els indicis existents suggereixen fortament la possible implicació de grups de pirates informàtics russos, especialment FIN12 (també conegut com Pistachio Tempest). Aquest grup és conegut per desplegar SystemBC juntament amb Cobalt Strike Beacons com a part de la seva estratègia per lliurar ransomware.