Κακόβουλο λογισμικό DroxiDat
Ένας άγνωστος ηθοποιός που σχετίζεται με απάτη έχει συσχετιστεί με μια κυβερνοεπίθεση σε μια εταιρεία παραγωγής ηλεκτρικής ενέργειας που βρίσκεται στη νότια Αφρική. Η επίθεση χρησιμοποίησε μια νέα απειλή κακόβουλου λογισμικού που παρακολουθείται ως DroxiDat. Το κακόβουλο λογισμικό έχει επιβεβαιωθεί ότι είναι μια νεότερη επανάληψη του προηγουμένως ανακαλυφθέντος SystemBC και πιθανώς έχει αναπτυχθεί ως προκαταρκτικό βήμα για μια αναμενόμενη επίθεση ransomware.
Η ανάπτυξη του DroxiDat, μιας κερκόπορτας εξοπλισμένης με δυνατότητες διακομιστή μεσολάβησης, έλαβε χώρα ταυτόχρονα με τη χρήση των Cobalt Strike Beacons στη ζωτική υποδομή. Οι ερευνητές διαπίστωσαν ότι αυτό το περιστατικό συνέβη στα τέλη Μαρτίου 2023. Κατά τη διάρκεια αυτής της περιόδου, πιστεύεται ότι η επιχείρηση επίθεσης βρισκόταν στα πρώτα της στάδια, εστιάζοντας στο προφίλ του συστήματος και στη δημιουργία ενός δικτύου μεσολάβησης που χρησιμοποιεί το πρωτόκολλο SOCKS5 για να διευκολύνει την επικοινωνία με την Διοίκηση Υποδομή -and-Control (C2).
Οι δημιουργοί του DroxiDat χρησιμοποίησαν το κακόβουλο λογισμικό SystemBC ως βάση
Το SystemBC είναι ένα κακόβουλο λογισμικό εμπορευμάτων και ένα εργαλείο απομακρυσμένης διαχείρισης κωδικοποιημένο σε C/C++. Η απειλή εμφανίστηκε αρχικά το 2019. Η κύρια λειτουργία της περιλαμβάνει τη δημιουργία διαμεσολαβητών SOCKS5 σε παραβιασμένα μηχανήματα. Αυτοί οι διακομιστής μεσολάβησης χρησιμεύουν ως αγωγοί για ψεύτικη κίνηση που συνδέεται με άλλες μορφές κακόβουλου λογισμικού. Οι πρόσφατες επαναλήψεις αυτού του συγκεκριμένου κακόβουλου λογισμικού έχουν διευρύνει τις δυνατότητες, επιτρέποντας την ανάκτηση και την εκτέλεση πρόσθετων ωφέλιμων φορτίων απειλής.
Η ιστορική ανάπτυξη του SystemBC ως αγωγού για επιθέσεις ransomware έχει τεκμηριωθεί καλά. Τον Δεκέμβριο του 2020, οι ερευνητές αποκάλυψαν περιπτώσεις χειριστών ransomware που καταφεύγουν στο SystemBC ως μια άμεσα διαθέσιμη κερκόπορτα που βασίζεται σε Tor για την εφαρμογή μολύνσεων Ryuk και Egregor Ransomware .
Η απήχηση της SystemBC έγκειται στην αποτελεσματικότητά της σε τέτοιες λειτουργίες, επιτρέποντας την ταυτόχρονη εμπλοκή με πολλούς στόχους μέσω αυτοματοποιημένων διαδικασιών. Αυτό, με τη σειρά του, διευκολύνει την ανάπτυξη ransomware μέσω εγγενών εργαλείων των Windows, εάν οι εισβολείς καταφέρουν να αποκτήσουν τα κατάλληλα διαπιστευτήρια.
Το DroxiDat μπορεί να χρησιμοποιηθεί ως πρόδρομος επιθέσεων ransomware
Οι συνδέσεις του DroxiDat με την ανάπτυξη ransomware προέρχονται από ένα περιστατικό που σχετίζεται με την υγειονομική περίθαλψη στο οποίο εμπλέκεται το DroxiDat. Αυτό το συμβάν εκτυλίχθηκε σε ένα παρόμοιο χρονικό πλαίσιο στο οποίο πιστεύεται ότι το Nokoyawa Ransomware διανεμήθηκε σε συνδυασμό με το Cobalt Strike.
Το κακόβουλο λογισμικό που χρησιμοποιείται σε αυτήν την επίθεση έχει βελτιωμένο και αποτελεσματικό χαρακτήρα σε αντίθεση με το αρχικό SystemBC. Οι προγραμματιστές του έχουν αφαιρέσει τη λειτουργικότητά του, αποβάλλοντας τις περισσότερες από τις δυνατότητες που βρίσκονται στο SystemBC, για να εξειδικεύσουν τη λειτουργία του ως βασικού προφίλ συστήματος. Ο ρόλος του περιλαμβάνει την εξαγωγή πληροφοριών και τη μετάδοσή τους σε έναν απομακρυσμένο διακομιστή.
Ως αποτέλεσμα, το DroxiDat δεν έχει τη δυνατότητα λήψης και εκτέλεσης πρόσθετων ωφέλιμων φορτίων κακόβουλου λογισμικού. Ωστόσο, μπορεί να δημιουργήσει συνδέσμους με απομακρυσμένους ακροατές, διευκολύνοντας αμφίδρομη μεταφορά δεδομένων και είναι σε θέση να χειριστεί το μητρώο συστήματος της μολυσμένης συσκευής.
Η ταυτότητα των παραγόντων απειλής που ευθύνονται για τις επιθέσεις παραμένει άγνωστη. Παρόλα αυτά, οι υπάρχουσες ενδείξεις υποδηλώνουν έντονα την πιθανή εμπλοκή ρωσικών ομάδων χάκερ, ιδιαίτερα του FIN12 (γνωστό και ως Pistachio Tempest). Αυτή η ομάδα είναι γνωστή για την ανάπτυξη του SystemBC μαζί με τα Cobalt Strike Beacons ως μέρος της στρατηγικής της για την παράδοση ransomware.
