DroxiDat Malware

A csalással kapcsolatos azonosítatlan szereplőt egy dél-afrikai energiatermelő vállalat elleni kibertámadáshoz hozzák összefüggésbe. A támadás egy DroxiDat néven nyomon követett új rosszindulatú fenyegetést használt. A rosszindulatú programról bebizonyosodott, hogy a korábban felfedezett SystemBC újabb iterációja, és feltehetően a várható ransomware támadás előzetes lépéseként kerül bevezetésre.

A DroxiDat, egy proxy képességekkel felszerelt hátsó ajtó telepítése egy időben történt a Cobalt Strike Beacons létfontosságú infrastruktúrán belüli használatával. A kutatók megállapították, hogy ez az incidens 2023 márciusának végén történt. Ez idő alatt a feltételezések szerint a támadás a korai szakaszában volt, és a rendszer profilalkotására és a SOCKS5 protokollt használó proxyhálózat létrehozására összpontosított, hogy megkönnyítse a kommunikációt a parancsnoksággal. -and-Control (C2) infrastruktúra.

A DroxiDat alkotói a SystemBC rosszindulatú szoftvert használták alapul

A SystemBC egy árucikkből származó kártevő és távoli adminisztrációs eszköz, C/C++ nyelven kódolva. A fenyegetés kezdetben 2019-ben jelent meg. Elsődleges funkciója a SOCKS5 proxyk létrehozása a feltört gépeken. Ezek a proxyk csatornaként szolgálnak a rosszindulatú programok más formáihoz kapcsolódó hamis forgalom számára. Ennek a rosszindulatú programnak a közelmúltbeli iterációi kibővítették a képességeket, lehetővé téve további fenyegetési rakományok lekérését és végrehajtását.

A SystemBC ransomware támadások csatornájaként való történelmi elterjedése jól dokumentált. 2020 decemberében a kutatók olyan eseteket mutattak be, amikor a zsarolóvírus-üzemeltetők a SystemBC-hez folyamodtak, mint könnyen elérhető Tor-alapú hátsó ajtóhoz a Ryuk és Egregor Ransomware fertőzések megvalósításához.

A SystemBC vonzereje az ilyen műveleteken belüli hatékonyságában rejlik, lehetővé téve az egyidejűleg több célponttal való együttműködést automatizált eljárásokon keresztül. Ez viszont megkönnyíti a zsarolóvírusok telepítését a natív Windows-eszközökön keresztül, amennyiben a támadóknak sikerül megszerezniük a megfelelő hitelesítő adatokat.

A DroxiDat a Ransomware támadások előfutáraként használható

A DroxiDat kapcsolatai a zsarolóprogramok telepítésével egy egészségügyi ellátással kapcsolatos eseményből származnak, amelyben a DroxiDat is részt vett. Ez az esemény egy hasonló időkeretben bontakozott ki, amikor a Nokoyawa Ransomware-t a Cobalt Strike-kal együtt terjesztették.

Az ebben a támadásban használt rosszindulatú program az eredeti SystemBC-vel ellentétben áramvonalas és hatékony természetű. A fejlesztők lecsökkentették a funkcionalitást, és a SystemBC legtöbb funkcióját elhagyták, hogy alapszintű rendszerprofilozóként specializálódjon. Szerepe magában foglalja az információk kinyerését és továbbítását egy távoli szerverre.

Ennek eredményeként a DroxiDat nem képes további rosszindulatú programok letöltésére és végrehajtására. Azonban kapcsolatot létesíthet távoli figyelőkkel, megkönnyítve a kétirányú adatátvitelt, és képes manipulálni a fertőzött eszköz rendszerleíró adatbázisát.

A támadásokért felelős fenyegetés szereplőinek azonosítása továbbra sem ismert. Mindazonáltal a meglévő jelek erősen utalnak az orosz hackercsoportok, különösen a FIN12 (más néven Pistachio Tempest) potenciális érintettségére. Ez a csoport arról ismert, hogy a Cobalt Strike Beacons mellett telepítette a SystemBC-t a zsarolóvírus-terjesztési stratégiájuk részeként.