תוכנת זדונית DroxiDat

שחקן לא מזוהה הקשור להונאה נקשר למתקפת סייבר על חברת ייצור חשמל הממוקמת בדרום אפריקה. המתקפה השתמשה באיום תוכנה זדוני חדשני שמעקב אחרו כ-DroxiDat. אושרה כי התוכנה הזדונית היא איטרציה חדשה יותר של SystemBC שהתגלתה בעבר, וככל הנראה נפרסת כצעד מקדים להתקפת תוכנת כופר צפויה.

הפריסה של DroxiDat, דלת אחורית המצוידת ביכולות פרוקסי, התרחשה במקביל לשימוש של Cobalt Strike Beacons בתוך התשתית החיונית. חוקרים קבעו כי תקרית זו התרחשה בסוף מרץ 2023. במהלך תקופה זו, מאמינים כי פעולת התקיפה הייתה בשלבים המוקדמים שלה, תוך התמקדות בפרופיל מערכת והקמת רשת פרוקסי המשתמשת בפרוטוקול SOCKS5 כדי להקל על התקשורת עם הפיקוד תשתית -and-Control (C2).

יוצרי DroxiDat השתמשו בתוכנה הזדונית של SystemBC כבסיס

SystemBC הוא תוכנה זדונית סחורה וכלי ניהול מרחוק המקודד ב-C/C++. האיום צץ לראשונה בשנת 2019. תפקידו העיקרי כולל הקמת פרוקסי SOCKS5 על מכונות שנפרצו. פרוקסי אלה משמשים כצינורות לתעבורה מזויפת המקושרת לצורות אחרות של תוכנות זדוניות. חזרות אחרונות של תוכנה זדונית זו הרחיבה את היכולות, המאפשרות אחזור וביצוע של עומסי איומים נוספים.

הפריסה ההיסטורית של SystemBC כצינור להתקפות תוכנות כופר תועדה היטב. בדצמבר 2020, חוקרים חשפו מקרים של מפעילי תוכנות כופר שנעזרו ב-SystemBC כדלת אחורית זמינה מבוססת Tor להטמעת זיהומים של Ryuk ו- Egregor Ransomware .

המשיכה של SystemBC טמונה באפקטיביות שלה בתוך פעולות כאלה, המאפשרת מעורבות בו-זמנית עם מטרות מרובות באמצעות נהלים אוטומטיים. זה, בתורו, מקל על פריסת תוכנות כופר באמצעות כלי Windows מקוריים, אם התוקפים יצליחו להשיג את האישורים המתאימים.

DroxiDat עשוי לשמש כמבשר מתקפות כופר

הקשרים של DroxiDat לפריסת תוכנות כופר מקורם בהתרחשות הקשורה לשירותי בריאות שבה היה מעורב DroxiDat. אירוע זה התרחש במהלך מסגרת זמן דומה שבה מאמינים כי תוכנת הכופר של Nokoyawa הופצה בשילוב עם Cobalt Strike.

התוכנה הזדונית המשמשת בתקיפה זו היא בעלת אופי יעיל ויעיל בניגוד ל-SystemBC המקורי. המפתחים שלה פשטו את הפונקציונליות שלו, והשליכו את רוב התכונות שנמצאות ב-SystemBC, כדי להתמחות בתפקוד שלה בתור פרופיל מערכת בסיסי. תפקידו כרוך בחילוץ מידע והעברתו לשרת מרוחק.

כתוצאה מכך, ל-DroxiDat אין את היכולת להוריד ולהפעיל מטענים נוספים של תוכנות זדוניות. עם זאת, הוא יכול ליצור קישורים עם מאזינים מרוחקים, להקל על העברת נתונים דו-כיוונית, והוא מסוגל לתמרן את רישום המערכת של המכשיר הנגוע.

זיהוי גורמי האיום האחראים לתקיפות עדיין לא ידוע. עם זאת, אינדיקציות קיימות מצביעות על מעורבות פוטנציאלית של קבוצות האקרים רוסיות, במיוחד FIN12 (הידוע גם בשם Pistachio Tempest). קבוצה זו ידועה כמי שמפריסה את SystemBC לצד Cobalt Strike Beacons כחלק מהאסטרטגיה שלהם לאספקת תוכנות כופר.