DroxiDat मैलवेयर
एक अज्ञात धोखाधड़ी-संबंधी अभिनेता दक्षिणी अफ्रीका में स्थित एक बिजली उत्पादन कंपनी पर साइबर हमले से जुड़ा हुआ है। हमले में DroxiDat के रूप में ट्रैक किए गए एक नए मैलवेयर खतरे का उपयोग किया गया। यह पुष्टि की गई है कि मैलवेयर पहले खोजे गए SystemBC का एक नया संस्करण है और संभवतः इसे प्रत्याशित रैंसमवेयर हमले के लिए प्रारंभिक चरण के रूप में तैनात किया गया है।
प्रॉक्सी क्षमताओं से सुसज्जित एक पिछले दरवाजे, DroxiDat की तैनाती, महत्वपूर्ण बुनियादी ढांचे के भीतर Cobalt Strike बीकन्स के उपयोग के साथ-साथ हुई। शोधकर्ताओं ने निर्धारित किया है कि यह घटना मार्च 2023 के अंत में हुई थी। इस समय के दौरान, यह माना जाता है कि हमले का ऑपरेशन अपने प्रारंभिक चरण में था, सिस्टम प्रोफाइलिंग और कमांड के साथ संचार की सुविधा के लिए SOCKS5 प्रोटोकॉल का उपयोग करके एक प्रॉक्सी नेटवर्क की स्थापना पर ध्यान केंद्रित किया गया था। -और-नियंत्रण (सी2) बुनियादी ढांचा।
DroxiDat के रचनाकारों ने SystemBC मैलवेयर को आधार के रूप में उपयोग किया
SystemBC एक कमोडिटी मैलवेयर और रिमोट एडमिनिस्ट्रेटिव टूल है जिसे C/C++ में कोड किया गया है। खतरा शुरू में 2019 में सामने आया। इसके प्राथमिक कार्य में समझौता की गई मशीनों पर SOCKS5 प्रॉक्सी स्थापित करना शामिल है। ये प्रॉक्सी मैलवेयर के अन्य रूपों से जुड़े फर्जी ट्रैफ़िक के लिए माध्यम के रूप में काम करते हैं। इस विशेष मैलवेयर के हालिया पुनरावृत्तियों ने क्षमताओं का विस्तार किया है, जिससे अतिरिक्त खतरे वाले पेलोड की पुनर्प्राप्ति और निष्पादन सक्षम हो गया है।
रैंसमवेयर हमलों के लिए एक माध्यम के रूप में SystemBC की ऐतिहासिक तैनाती को अच्छी तरह से प्रलेखित किया गया है। दिसंबर 2020 में, शोधकर्ताओं ने Ryuk और Egregor रैनसमवेयर संक्रमणों को लागू करने के लिए आसानी से उपलब्ध टोर-आधारित बैकडोर के रूप में सिस्टमबीसी का सहारा लेने वाले रैंसमवेयर ऑपरेटरों के उदाहरणों का अनावरण किया।
SystemBC की अपील ऐसे परिचालनों में इसकी प्रभावशीलता में निहित है, जो स्वचालित प्रक्रियाओं के माध्यम से कई लक्ष्यों के साथ एक साथ जुड़ाव की अनुमति देती है। यह, बदले में, देशी विंडोज टूल के माध्यम से रैंसमवेयर की तैनाती की सुविधा प्रदान करता है, क्या हमलावरों को उचित क्रेडेंशियल प्राप्त करने का प्रबंधन करना चाहिए।
DroxiDat का उपयोग रैंसमवेयर हमलों के अग्रदूत के रूप में किया जा सकता है
रैंसमवेयर परिनियोजन के लिए DroxiDat का कनेक्शन एक स्वास्थ्य-संबंधी घटना से उत्पन्न हुआ है जिसमें DroxiDat शामिल था। यह घटना उसी समय-सीमा के दौरान सामने आई, जिसमें माना जाता है कि Nokoyawa रैनसमवेयर कोबाल्ट स्ट्राइक के संयोजन में वितरित किया गया था।
इस हमले में उपयोग किया गया मैलवेयर मूल SystemBC की तुलना में सुव्यवस्थित और कुशल प्रकृति का है। इसके डेवलपर्स ने एक बुनियादी सिस्टम प्रोफाइलर के रूप में इसके कार्य को विशिष्ट बनाने के लिए, SystemBC में पाए जाने वाले अधिकांश फीचर्स को हटाते हुए, इसकी कार्यक्षमता को कम कर दिया है। इसकी भूमिका में जानकारी निकालना और उसे दूरस्थ सर्वर तक पहुंचाना शामिल है।
परिणामस्वरूप, DroxiDat में अतिरिक्त मैलवेयर पेलोड को डाउनलोड करने और निष्पादित करने की क्षमता का अभाव है। हालाँकि, यह दूरस्थ श्रोताओं के साथ संबंध स्थापित कर सकता है, द्विदिशात्मक डेटा स्थानांतरण की सुविधा प्रदान कर सकता है, और संक्रमित डिवाइस की सिस्टम रजिस्ट्री में हेरफेर करने में सक्षम है।
हमलों के लिए ज़िम्मेदार ख़तरनाक अभिनेताओं की पहचान अज्ञात बनी हुई है। बहरहाल, मौजूदा संकेत दृढ़ता से रूसी हैकर समूहों, विशेष रूप से FIN12 (जिसे पिस्ता टेम्पेस्ट के रूप में भी जाना जाता है) की संभावित भागीदारी का सुझाव देते हैं। यह समूह रैंसमवेयर पहुंचाने की अपनी रणनीति के हिस्से के रूप में कोबाल्ट स्ट्राइक बीकन्स के साथ SystemBC को तैनात करने के लिए जाना जाता है।
