DroxiDat haittaohjelma

Tuntematon petoksiin liittyvä toimija on liitetty kyberhyökkäykseen Etelä-Afrikassa sijaitsevaan sähköyhtiöön. Hyökkäys hyödynsi uutta haittaohjelmauhkaa, joka jäljitettiin nimellä DroxiDat. Haittaohjelman on vahvistettu olevan uudempi iteraatio aiemmin löydetystä SystemBC:stä ja oletettavasti sitä käytetään alustavana vaiheena odotetussa kiristysohjelmahyökkäyksessä.

Proxy-ominaisuuksilla varustetun takaoven DroxiDatin käyttöönotto tapahtui samanaikaisesti Cobalt Strike Beaconien käytön kanssa elintärkeässä infrastruktuurissa. Tutkijat ovat määrittäneet, että tämä tapaus tapahtui maaliskuun lopussa 2023. Tänä aikana uskotaan, että hyökkäysoperaatio oli varhaisessa vaiheessaan keskittyen järjestelmän profilointiin ja SOCKS5-protokollaa käyttävän välityspalvelimen muodostamiseen helpottamaan viestintää komennon kanssa. -ja-ohjaus (C2) -infrastruktuuri.

DroxiDatin luojat käyttivät SystemBC-haittaohjelmaa perustana

SystemBC on hyödykehaittaohjelma ja etähallintatyökalu, joka on koodattu C/C++-kielellä. Uhka nousi alun perin esiin vuonna 2019. Sen ensisijaisena tehtävänä on muodostaa SOCKS5-välityspalvelimet vaarantuneisiin koneisiin. Nämä välityspalvelimet toimivat muiden haittaohjelmien muotoihin liittyvän väärän liikenteen kanavina. Tämän tietyn haittaohjelman viimeaikaiset iteraatiot ovat laajentaneet ominaisuuksia, jotka mahdollistavat ylimääräisten uhkahyötykuormien hakemisen ja suorittamisen.

SystemBC:n historiallinen käyttö ransomware-hyökkäysten kanavana on dokumentoitu hyvin. Joulukuussa 2020 tutkijat paljastivat tapauksia, joissa ransomware-operaattorit turvautuivat SystemBC:hen helposti saatavilla olevana Tor-pohjaisena takaovena Ryuk- ja Egregor Ransomware -infektioiden toteuttamiseen.

SystemBC:n vetovoima piilee sen tehokkuudessa tällaisissa toimissa, mikä mahdollistaa samanaikaisen sitoutumisen useiden kohteiden kanssa automatisoitujen menettelyjen avulla. Tämä puolestaan helpottaa kiristysohjelmien käyttöönottoa Windowsin alkuperäisten työkalujen kautta, mikäli hyökkääjät onnistuvat saamaan tarvittavat tunnistetiedot.

DroxiDatia voidaan käyttää kiristyshaittahyökkäysten edeltäjänä

DroxiDatin yhteydet kiristysohjelmien käyttöönottoon ovat peräisin terveydenhuoltoon liittyvästä tapahtumasta, jossa DroxiDat oli osallisena. Tämä tapahtuma eteni samanlaisena ajanjaksona, jolloin Nokoyawa Ransomwaren uskotaan levinneen Cobalt Striken yhteydessä.

Tässä hyökkäyksessä käytetty haittaohjelma on luonteeltaan virtaviivainen ja tehokas toisin kuin alkuperäinen SystemBC. Sen kehittäjät ovat vähentäneet sen toimintoja ja luopuneet suurimmasta osasta SystemBC:n ominaisuuksista erikoistuakseen sen toimintoon perusjärjestelmän profiloijana. Sen tehtävänä on poimia tietoja ja lähettää ne etäpalvelimelle.

Tämän seurauksena DroxiDat ei pysty lataamaan ja suorittamaan ylimääräisiä haittaohjelmia. Se voi kuitenkin luoda yhteyksiä etäkuuntelijoihin, mikä helpottaa kaksisuuntaista tiedonsiirtoa ja pystyy manipuloimaan tartunnan saaneen laitteen järjestelmärekisteriä.

Hyökkäyksistä vastuussa olevien uhkatekijöiden tunnistaminen on edelleen epäselvää. Siitä huolimatta olemassa olevat viitteet viittaavat vahvasti venäläisten hakkeriryhmien, erityisesti FIN12:n (tunnetaan myös nimellä Pistachio Tempest), mahdolliseen osallisuuteen. Tämä ryhmä tunnetaan SystemBC:n käyttöönotosta Cobalt Strike Beaconsin rinnalla osana kiristysohjelmien jakelustrategiaansa.