DroxiDat zlonamjerni softver

Neidentificirani akter povezan s prijevarom povezan je s kibernetičkim napadom na tvrtku za proizvodnju električne energije koja se nalazi u južnoj Africi. U napadu je korištena nova prijetnja zlonamjernim softverom praćena kao DroxiDat. Potvrđeno je da je zlonamjerni softver novija iteracija prethodno otkrivenog SystemBC- a i vjerojatno je postavljen kao preliminarni korak za očekivani napad ransomwarea.

Implementacija DroxiData, backdoor-a opremljenog proxy mogućnostima, dogodila se istodobno s korištenjem Cobalt Strike Beacona unutar vitalne infrastrukture. Istraživači su utvrdili da se ovaj incident dogodio krajem ožujka 2023. Tijekom tog vremena, vjeruje se da je operacija napada bila u ranoj fazi, fokusirajući se na profiliranje sustava i uspostavu proxy mreže koristeći SOCKS5 protokol za olakšavanje komunikacije sa zapovjedništvom -and-Control (C2) infrastruktura.

Tvorci DroxiData koristili su SystemBC Malware kao osnovu

SystemBC je robni zlonamjerni softver i alat za daljinsku administraciju kodiran u C/C++. Prijetnja se prvobitno pojavila još 2019. Njena primarna funkcija uključuje uspostavljanje SOCKS5 proxyja na kompromitiranim strojevima. Ti proxyji služe kao kanali za lažni promet povezan s drugim oblicima zlonamjernog softvera. Nedavne iteracije ovog konkretnog zlonamjernog softvera imaju proširene mogućnosti, omogućujući dohvaćanje i izvršavanje dodatnih prijetnji.

Povijesna implementacija SystemBC-a kao kanala za napade ransomwarea dobro je dokumentirana. U prosincu 2020. istraživači su otkrili primjere operatera ransomwarea koji su pribjegavali SystemBC-u kao lako dostupnom backdooru temeljenom na Tor-u za implementaciju Ryuk i Egregor Ransomware infekcija.

Privlačnost SystemBC-a leži u njegovoj učinkovitosti unutar takvih operacija, dopuštajući istovremeno djelovanje na više ciljeva kroz automatizirane procedure. To zauzvrat olakšava implementaciju ransomwarea putem izvornih Windows alata, ako napadači uspiju dobiti odgovarajuće vjerodajnice.

DroxiDat se može koristiti kao prethodnik Ransomware napada

Veze DroxiData s implementacijom ransomwarea potječu iz događaja povezanog sa zdravstvenom skrbi u koji je DroxiDat bio uključen. Ovaj se događaj odvijao u sličnom vremenskom okviru za koji se vjeruje da je Nokoyawa Ransomware distribuiran zajedno s Cobalt Strikeom.

Zlonamjerni softver korišten u ovom napadu ima pojednostavljenu i učinkovitu prirodu za razliku od izvornog SystemBC-a. Njegovi programeri smanjili su njegovu funkcionalnost, odbacujući većinu značajki koje se nalaze u SystemBC-u, kako bi specijalizirali njegovu funkciju osnovnog profilera sustava. Njegova uloga uključuje izdvajanje informacija i njihov prijenos na udaljeni poslužitelj.

Kao rezultat toga, DroxiDat nema mogućnost preuzimanja i izvršavanja dodatnog opterećenja zlonamjernog softvera. Međutim, može uspostaviti veze s udaljenim slušateljima, olakšavajući dvosmjerni prijenos podataka i sposoban je manipulirati registrom sustava zaraženog uređaja.

Identifikacija prijetnji odgovornih za napade ostaje nepoznata. Unatoč tome, postojeće indikacije snažno upućuju na potencijalnu upletenost ruskih hakerskih skupina, posebice FIN12 (također poznate kao Pistachio Tempest). Ova je grupa poznata po postavljanju SystemBC-a uz Cobalt Strike Beacons kao dio svoje strategije za isporuku ransomwarea.