Malware DroxiDat

Neznámý aktér související s podvody byl spojován s kybernetickým útokem na společnost vyrábějící elektřinu se sídlem v jižní Africe. Útok využil novou malwarovou hrozbu sledovanou jako DroxiDat. Malware je potvrzeno jako novější iterace dříve objeveného SystemBC a je pravděpodobně nasazen jako předběžný krok pro očekávaný ransomwarový útok.

K nasazení DroxiDat, backdooru vybaveného funkcemi proxy, došlo současně s využitím Cobalt Strike Beacons v rámci životně důležité infrastruktury. Výzkumníci zjistili, že k tomuto incidentu došlo na konci března 2023. Během této doby se předpokládá, že operace útoku byla v raných fázích, přičemž se zaměřovala na profilování systému a vytvoření sítě proxy využívající protokol SOCKS5 pro usnadnění komunikace s velením. -and-Control (C2) infrastruktura.

Tvůrci DroxiDat použili jako základ malware SystemBC

SystemBC je komoditní malware a nástroj pro vzdálenou správu kódovaný v C/C++. Hrozba se poprvé objevila již v roce 2019. Její primární funkcí je zřízení proxy SOCKS5 na kompromitovaných počítačích. Tyto proxy slouží jako kanály pro falešný provoz spojený s jinými formami malwaru. Nedávné iterace tohoto konkrétního malwaru mají rozšířené možnosti, což umožňuje načítání a provádění dalších hrozeb.

Historické nasazení SystemBC jako kanálu pro útoky ransomwaru bylo dobře zdokumentováno. V prosinci 2020 výzkumníci odhalili případy provozovatelů ransomwaru, kteří se uchýlili k SystemBC jako snadno dostupnému backdoor založenému na Tor pro implementaci infekcí Ryuk a Egregor Ransomware .

Přitažlivost společnosti SystemBC spočívá v její efektivitě v rámci takových operací, která umožňuje simultánní zapojení více cílů prostřednictvím automatizovaných postupů. To zase usnadňuje nasazení ransomwaru prostřednictvím nativních nástrojů Windows, pokud by se útočníkům podařilo získat příslušné přihlašovací údaje.

DroxiDat může být použit jako předzvěst ransomwarových útoků

Spojení DoxiDat s nasazením ransomwaru pocházejí z události související se zdravotní péčí, do které byl DroxiDat zapojen. Tato událost se odehrála v podobném časovém rámci, ve kterém se předpokládá, že Nokoyawa Ransomware byl distribuován ve spojení s Cobalt Strike.

Malware použitý při tomto útoku má na rozdíl od původního SystemBC zjednodušenou a efektivní povahu. Jeho vývojáři omezili jeho funkčnost a zbavili se většiny funkcí nalezených v SystemBC, aby specializovali jeho funkci jako základní systémový profiler. Jeho role zahrnuje extrakci informací a jejich přenos na vzdálený server.

Výsledkem je, že DroxiDat postrádá možnost stahovat a spouštět další užitečné zatížení malwaru. Dokáže však navázat spojení se vzdálenými posluchači, což usnadňuje obousměrný přenos dat a je schopen manipulovat se systémovým registrem infikovaného zařízení.

Identifikace aktérů hrozby odpovědných za útoky zůstává neznámá. Existující náznaky však silně naznačují potenciální zapojení ruských hackerských skupin, zejména FIN12 (také známé jako Pistáciová bouře). Tato skupina je známá tím, že nasazuje SystemBC spolu s Cobalt Strike Beacons jako součást své strategie pro dodávání ransomwaru.