DroxiDat 멀웨어

미확인 사기 관련 행위자가 남부 아프리카에 위치한 발전 회사에 대한 사이버 공격과 관련이 있습니다. 이 공격은 DroxiDat으로 추적되는 새로운 맬웨어 위협을 활용했습니다. 이 악성코드는 이전에 발견된 SystemBC 의 최신 버전으로 확인되었으며 예상되는 랜섬웨어 공격을 위한 예비 단계로 배포된 것으로 추정됩니다.

프록시 기능을 갖춘 백도어인 DroxiDat의 배포는 중요한 인프라 내에서 Cobalt Strike Beacons의 활용과 동시에 발생했습니다. 연구원들은 이 사건이 2023년 3월 말에 발생했다고 판단했습니다. 이 기간 동안 공격 작전은 시스템 프로파일링과 사령부와의 통신을 용이하게 하기 위해 SOCKS5 프로토콜을 활용하는 프록시 네트워크 구축에 초점을 맞춘 초기 단계에 있었던 것으로 보입니다. 및 제어(C2) 인프라.

DroxiDat의 제작자는 SystemBC 맬웨어를 기반으로 사용했습니다.

SystemBC는 C/C++로 코딩된 상용 맬웨어 및 원격 관리 도구입니다. 이 위협은 2019년에 처음 표면화되었습니다. 주요 기능은 손상된 시스템에서 SOCKS5 프록시를 설정하는 것입니다. 이러한 프록시는 다른 형태의 맬웨어에 연결된 가짜 트래픽의 통로 역할을 합니다. 이 특정 맬웨어의 최근 반복에서는 기능이 확장되어 추가 위협 페이로드를 검색하고 실행할 수 있습니다.

랜섬웨어 공격의 도관으로 SystemBC를 배포한 이력은 잘 문서화되어 있습니다. 2020년 12월, 연구원들은 Ryuk 및 Egregor 랜섬웨어 감염을 구현하기 위해 쉽게 사용할 수 있는 Tor 기반 백도어로 SystemBC에 의존하는 랜섬웨어 운영자의 사례를 공개했습니다.

SystemBC의 매력은 자동화된 절차를 통해 여러 대상과 동시에 관여할 수 있는 이러한 작업 내에서의 효율성에 있습니다. 이는 공격자가 적절한 자격 증명을 얻을 수 있는 경우 기본 Windows 도구를 통해 랜섬웨어 배포를 용이하게 합니다.

DroxiDat은 랜섬웨어 공격의 전조로 사용될 수 있습니다.

랜섬웨어 배포에 대한 DroxiDat의 연결은 DroxiDat이 관련된 의료 관련 사건에서 비롯됩니다. 이 사건은 Nokoyawa Ransomware가 Cobalt Strike와 함께 유포된 것으로 추정되는 유사한 기간 동안 전개되었습니다.

이 공격에 사용된 악성코드는 원래 SystemBC와 달리 능률적이고 효율적인 특성을 가지고 있습니다. 개발자는 기본 시스템 프로파일러 기능을 전문화하기 위해 SystemBC에서 발견되는 대부분의 기능을 없애고 기능을 제거했습니다. 그 역할은 정보를 추출하여 원격 서버로 전송하는 것입니다.

결과적으로 DroxiDat에는 추가 맬웨어 페이로드를 다운로드하고 실행할 수 있는 기능이 없습니다. 그러나 원격 청취자와 링크를 설정하여 양방향 데이터 전송을 용이하게 하고 감염된 장치의 시스템 레지스트리를 조작할 수 있습니다.

공격을 담당하는 위협 행위자의 신원은 아직 알려지지 않았습니다. 그럼에도 불구하고 기존 징후는 러시아 해커 그룹, 특히 FIN12(Pistachio Tempest라고도 함)의 잠재적 개입 가능성을 강력하게 시사합니다. 이 그룹은 랜섬웨어 배포 전략의 일환으로 Cobalt Strike Beacons와 함께 SystemBC를 배포하는 것으로 알려져 있습니다.