DroxiDat Malware

En uidentificeret svindel-relateret aktør er blevet forbundet med et cyberangreb på et elproduktionsselskab i det sydlige Afrika. Angrebet brugte en ny malwaretrussel sporet som DroxiDat. Malwaren er bekræftet at være en nyere iteration af tidligere opdaget SystemBC og er formentlig implementeret som et indledende trin til et forventet ransomware-angreb.

Implementeringen af DroxiDat, en bagdør udstyret med proxy-funktioner, skete samtidig med brugen af Cobalt Strike Beacons i den vitale infrastruktur. Forskere har fastslået, at denne hændelse fandt sted i slutningen af marts 2023. I løbet af denne tid menes det, at angrebsoperationen var i sine tidlige faser med fokus på systemprofilering og etablering af et proxy-netværk, der anvender SOCKS5-protokollen til at lette kommunikationen med kommandoen -and-Control (C2) infrastruktur.

Skaberne af DroxiDat brugte SystemBC Malware som grundlag

SystemBC er et råvare-malware og fjernadministrativt værktøj kodet i C/C++. Truslen dukkede oprindeligt op tilbage i 2019. Dens primære funktion involverer etablering af SOCKS5-proxyer på kompromitterede maskiner. Disse proxyer tjener som kanaler for falsk trafik forbundet med andre former for malware. Nylige gentagelser af denne særlige malware har udvidede muligheder, hvilket muliggør hentning og eksekvering af yderligere trusselsnyttelast.

Den historiske udrulning af SystemBC som en kanal for ransomware-angreb er blevet veldokumenteret. I december 2020 afslørede forskere tilfælde af ransomware-operatører, der tyer til SystemBC som en let tilgængelig Tor-baseret bagdør til implementering af Ryuk og Egregor Ransomware- infektioner.

SystemBC's appel ligger i dets effektivitet inden for sådanne operationer, hvilket giver mulighed for samtidig engagement med flere mål gennem automatiserede procedurer. Dette letter på sin side implementeringen af ransomware via native Windows-værktøjer, hvis det lykkes angriberne at opnå de relevante legitimationsoplysninger.

DroxiDat kan bruges som en forløber for Ransomware-angreb

DroxiDats forbindelser til udrulning af ransomware stammer fra en sundhedsrelateret hændelse, hvor DroxiDat var involveret. Denne begivenhed udspillede sig i en lignende tidsramme, hvor Nokoyawa Ransomware menes at være blevet distribueret i forbindelse med Cobalt Strike.

Den malware, der bruges i dette angreb, har en strømlinet og effektiv karakter i modsætning til det originale SystemBC. Dens udviklere har fjernet dens funktionalitet og fjernet de fleste af de funktioner, der findes i SystemBC, for at specialisere dens funktion som en grundlæggende systemprofiler. Dens rolle involverer at udtrække information og overføre den til en ekstern server.

Som et resultat mangler DroxiDat evnen til at downloade og udføre yderligere malware-nyttelaster. Det kan dog etablere forbindelser med fjernlyttere, hvilket letter tovejs dataoverførsel og er i stand til at manipulere systemregistret for den inficerede enhed.

Identifikationen af de trusselsaktører, der er ansvarlige for angrebene, er stadig ukendt. Ikke desto mindre tyder eksisterende indikationer stærkt på den potentielle involvering af russiske hackergrupper, især FIN12 (også kendt som Pistachio Tempest). Denne gruppe er kendt for at implementere SystemBC sammen med Cobalt Strike Beacons som en del af deres strategi for levering af ransomware.