DroxiDat pahavara

Tundmatut pettusega seotud osalejat on seostatud küberrünnakuga Lõuna-Aafrikas asuvale elektritootmisettevõttele. Rünnakus kasutati uudset pahavara ohtu, mida jälgiti kui DroxiDat. Kinnitatakse, et pahavara on varem avastatud SystemBC uuem iteratsioon ja seda kasutatakse eeldatava lunavararünnaku eeltoiminguna.

Puhverserveri võimalustega tagaukse DroxiDati juurutamine toimus samaaegselt Cobalt Strike Beaconsi kasutamisega elutähtsas infrastruktuuris. Teadlased tegid kindlaks, et see juhtum leidis aset 2023. aasta märtsi lõpus. Selle aja jooksul arvatakse, et rünnak oli algfaasis, keskendudes süsteemi profiilide koostamisele ja puhverserveri võrgu loomisele, mis kasutas SOCKS5 protokolli, et hõlbustada väejuhatusega suhtlemist. -ja-juhtimise (C2) infrastruktuur.

DroxiDati loojad kasutasid SystemBC pahavara alusena

SystemBC on kauba pahavara ja kaughaldustööriist, mis on kodeeritud C/C++ keeles. Algselt kerkis oht esile 2019. aastal. Selle põhifunktsiooniks on SOCKS5 puhverserveri loomine ohustatud masinatele. Need puhverserverid on kanalid võltsliiklusele, mis on seotud muud tüüpi pahavaraga. Selle konkreetse pahavara hiljutised iteratsioonid on laiendanud võimalusi, võimaldades hankida ja käivitada täiendavaid ohukoormusi.

SystemBC ajalooline kasutuselevõtt lunavararünnakute kanalina on hästi dokumenteeritud. 2020. aasta detsembris avalikustasid teadlased juhtumid, kus lunavaraoperaatorid kasutasid SystemBC-d kui hõlpsasti kättesaadavat Tor-põhist tagaust Ryuki ja Egregori lunavaraga nakatumise juurutamiseks.

SystemBC atraktiivsus seisneb selle tõhususes sellistes toimingutes, võimaldades automatiseeritud protseduuride kaudu samaaegselt tegeleda mitme sihtmärgiga. See omakorda hõlbustab lunavara juurutamist Windowsi natiivsete tööriistade kaudu, kui ründajatel õnnestub hankida vastavad mandaadid.

DroxiDat võidakse kasutada lunavararünnakute eelkäijana

DroxiDati seosed lunavara juurutamisega pärinevad tervishoiuga seotud juhtumist, milles DroxiDat oli seotud. See sündmus leidis aset sarnase aja jooksul, mil arvatakse, et Nokoyawa Ransomware levitati koos Cobalt Strike'iga.

Selles rünnakus kasutatud pahavara on erinevalt algsest SystemBC-st sujuvalt ja tõhusalt. Selle arendajad on selle funktsionaalsust vähendanud, loobudes enamikust SystemBC-s leiduvatest funktsioonidest, et spetsialiseeruda selle funktsioonile põhilise süsteemiprofiilina. Selle roll hõlmab teabe hankimist ja selle edastamist kaugserverisse.

Selle tulemusena puudub DroxiDatil võimalus täiendavat pahavara kasulikku koormust alla laadida ja käivitada. Siiski võib see luua sidemeid kaugkuulajatega, hõlbustades kahesuunalist andmeedastust, ja on võimeline manipuleerima nakatunud seadme süsteemiregistriga.

Rünnakute eest vastutavad ohus osalejad on teadmata. Sellegipoolest viitavad olemasolevad märgid tugevalt Venemaa häkkerirühmituste, eriti FIN12 (tuntud ka kui Pistachio Tempest) võimalikule osalemisele. See grupp on tuntud SystemBC juurutamise poolest koos Cobalt Strike Beaconidega, mis on osa lunavara tarnimise strateegiast.