Malware DroxiDat
Un attore non identificato legato alla frode è stato associato a un attacco informatico a una società di produzione di energia situata nell'Africa meridionale. L'attacco ha utilizzato una nuova minaccia malware tracciata come DroxiDat. Si conferma che il malware è una nuova iterazione di SystemBC scoperto in precedenza ed è presumibilmente distribuito come passaggio preliminare per un attacco ransomware anticipato.
L'implementazione di DroxiDat, una backdoor dotata di funzionalità proxy, è avvenuta in concomitanza con l'utilizzo di Cobalt Strike Beacon all'interno dell'infrastruttura vitale. I ricercatori hanno determinato che questo incidente è avvenuto alla fine di marzo 2023. Durante questo periodo, si ritiene che l'operazione di attacco fosse nelle sue fasi iniziali, concentrandosi sulla profilazione del sistema e sulla creazione di una rete proxy utilizzando il protocollo SOCKS5 per facilitare la comunicazione con il Comando -e-Infrastruttura di controllo (C2).
I creatori di DroxiDat hanno utilizzato il malware SystemBC come base
SystemBC è un malware di base e uno strumento di amministrazione remota codificato in C/C++. La minaccia è emersa inizialmente nel 2019. La sua funzione principale prevede la creazione di proxy SOCKS5 su macchine compromesse. Questi proxy fungono da canali per il traffico fasullo collegato ad altre forme di malware. Le recenti iterazioni di questo particolare malware hanno ampliato le capacità, consentendo il recupero e l'esecuzione di ulteriori payload di minacce.
La diffusione storica di SystemBC come canale per gli attacchi ransomware è stata ben documentata. Nel dicembre 2020, i ricercatori hanno svelato casi di operatori di ransomware che ricorrevano a SystemBC come backdoor basata su Tor prontamente disponibile per implementare le infezioni Ryuk ed Egregor Ransomware .
L'attrattiva di SystemBC risiede nella sua efficacia all'interno di tali operazioni, consentendo l'impegno simultaneo con più obiettivi attraverso procedure automatizzate. Ciò, a sua volta, facilita l'implementazione del ransomware tramite gli strumenti nativi di Windows, nel caso in cui gli aggressori riescano a ottenere le credenziali appropriate.
DroxiDat può essere utilizzato come precursore di attacchi ransomware
Le connessioni di DroxiDat alla distribuzione del ransomware provengono da un evento sanitario in cui è stato coinvolto DroxiDat. Questo evento si è svolto durante un periodo di tempo simile in cui si ritiene che Nokoyawa Ransomware sia stato distribuito insieme a Cobalt Strike.
Il malware utilizzato in questo assalto possiede una natura snella ed efficiente rispetto al SystemBC originale. I suoi sviluppatori ne hanno ridotto le funzionalità, eliminando la maggior parte delle funzionalità presenti in SystemBC, per specializzarne la funzione di profiler di sistema di base. Il suo ruolo prevede l'estrazione di informazioni e la loro trasmissione a un server remoto.
Di conseguenza, DroxiDat non ha la capacità di scaricare ed eseguire ulteriori payload di malware. Tuttavia, può stabilire collegamenti con ascoltatori remoti, facilitando il trasferimento dati bidirezionale ed è in grado di manipolare il registro di sistema del dispositivo infetto.
L'identificazione degli attori della minaccia responsabili degli attacchi rimane sconosciuta. Tuttavia, le indicazioni esistenti suggeriscono fortemente il potenziale coinvolgimento di gruppi di hacker russi, in particolare FIN12 (noto anche come Pistachio Tempest). Questo gruppo è noto per aver implementato SystemBC insieme a Cobalt Strike Beacons come parte della loro strategia per la distribuzione di ransomware.
