بدافزار DroxiDat

یک بازیگر ناشناس مرتبط با کلاهبرداری با یک حمله سایبری به یک شرکت تولید برق واقع در جنوب آفریقا مرتبط است. در این حمله از یک تهدید بدافزار جدید استفاده شده است که تحت عنوان DroxiDat ردیابی می شود. تأیید شده است که این بدافزار تکرار جدیدتری از SystemBC است که قبلاً کشف شده بود و احتمالاً به عنوان یک مرحله مقدماتی برای یک حمله باج‌افزار پیش‌بینی‌شده مستقر شده است.

استقرار DroxiDat، یک درب پشتی مجهز به قابلیت های پراکسی، همزمان با استفاده از Cobalt Strike Beacons در زیرساخت حیاتی رخ داد. محققان تشخیص داده‌اند که این حادثه در اواخر مارس 2023 رخ داده است. در این مدت، اعتقاد بر این است که عملیات حمله در مراحل اولیه خود بوده است، با تمرکز بر پروفایل سیستم و ایجاد یک شبکه پراکسی با استفاده از پروتکل SOCKS5 برای تسهیل ارتباط با فرماندهی. زیرساخت -and-Control (C2).

سازندگان DroxiDat از بدافزار SystemBC به عنوان پایه استفاده کردند

SystemBC یک بدافزار کالایی و ابزار مدیریتی راه دور است که با C/C++ کدگذاری شده است. این تهدید ابتدا در سال 2019 ظاهر شد. عملکرد اصلی آن شامل ایجاد پراکسی های SOCKS5 در ماشین های در معرض خطر است. این پراکسی ها به عنوان مجاری برای ترافیک جعلی مرتبط با سایر اشکال بدافزار عمل می کنند. تکرارهای اخیر این بدافزار خاص، قابلیت‌های خود را افزایش داده است و امکان بازیابی و اجرای بارهای تهدید اضافی را فراهم کرده است.

استقرار تاریخی SystemBC به عنوان مجرای حملات باج افزار به خوبی مستند شده است. در دسامبر 2020، محققان نمونه‌هایی از متوسل شدن اپراتورهای باج‌افزار به SystemBC را به‌عنوان یک درب پشتی مبتنی بر Tor برای پیاده‌سازی عفونت‌های Ryuk و Egregor باج‌افزار ، رونمایی کردند.

جذابیت SystemBC در اثربخشی آن در چنین عملیاتی است که امکان تعامل همزمان با چندین هدف را از طریق رویه‌های خودکار فراهم می‌کند. این به نوبه خود، استقرار باج‌افزار را از طریق ابزارهای بومی ویندوز تسهیل می‌کند، در صورتی که مهاجمان موفق به دریافت اعتبار مناسب شوند.

DroxiDat ممکن است به عنوان پیشرو حملات باج افزار استفاده شود

اتصالات DroxiDat با استقرار باج افزار از یک رویداد مرتبط با مراقبت های بهداشتی که DroxiDat در آن دخیل بود، سرچشمه می گیرد. این رویداد در بازه زمانی مشابهی رخ داد که در آن باج‌افزار Nokoyawa در ارتباط با Cobalt Strike توزیع شده است.

بدافزار مورد استفاده در این حمله بر خلاف SystemBC اصلی، ماهیت کارآمد و کارآمدی دارد. توسعه‌دهندگان آن عملکرد آن را کاهش داده‌اند و بیشتر ویژگی‌های موجود در SystemBC را کنار گذاشته‌اند تا عملکرد آن را به‌عنوان یک نمایه‌گر اصلی سیستم اختصاص دهند. نقش آن شامل استخراج اطلاعات و انتقال آن به یک سرور راه دور است.

در نتیجه، DroxiDat فاقد قابلیت دانلود و اجرای بارهای بدافزار اضافی است. با این حال، می‌تواند با شنوندگان راه دور پیوند برقرار کند، انتقال داده‌های دو طرفه را تسهیل می‌کند، و می‌تواند رجیستری سیستم دستگاه آلوده را دستکاری کند.

هویت عاملان تهدید مسئول این حملات ناشناخته است. با این وجود، نشانه های موجود به شدت حاکی از دخالت احتمالی گروه های هکر روسی، به ویژه FIN12 (همچنین به عنوان طوفان پسته) است. این گروه به دلیل استقرار SystemBC در کنار Cobalt Strike Beacons به عنوان بخشی از استراتژی خود برای ارائه باج افزار شناخته شده است.