DroxiDat kenkėjiška programa

Nenustatytas su sukčiavimu susijęs veikėjas buvo siejamas su kibernetinė ataka prieš elektros energijos gamybos įmonę, įsikūrusią Pietų Afrikoje. Ataka panaudojo naują kenkėjiškų programų grėsmę, stebimą kaip DroxiDat. Patvirtinta, kad kenkėjiška programa yra naujesnė anksčiau aptiktos SystemBC iteracija ir, tikėtina, yra įdiegta kaip preliminarus veiksmas prieš numatomą išpirkos programinės įrangos ataką.

DroxiDat, užpakalinės durys, turinčios tarpinio serverio galimybes, buvo įdiegtos kartu su Cobalt Strike Beacons panaudojimu gyvybiškai svarbioje infrastruktūroje. Tyrėjai nustatė, kad šis incidentas įvyko 2023 m. kovo pabaigoje. Manoma, kad tuo metu atakos operacija buvo ankstyvosiose stadijose, daugiausia dėmesio skiriant sistemos profiliavimui ir tarpinio serverio tinklo sukūrimui, naudojant SOCKS5 protokolą, kad būtų lengviau bendrauti su komanda. ir valdymo (C2) infrastruktūra.

DroxiDat kūrėjai naudojo SystemBC kenkėjišką programą kaip pagrindą

SystemBC yra prekių kenkėjiška programa ir nuotolinis administravimo įrankis, užkoduotas C/C++. Iš pradžių grėsmė iškilo 2019 m. Pagrindinė jos funkcija yra SOCKS5 tarpinių serverių sukūrimas pažeistuose įrenginiuose. Šie tarpiniai serveriai tarnauja kaip fiktyvaus srauto, susieto su kitų formų kenkėjiškomis programomis, kanalai. Naujausios šios kenkėjiškos programos pakartojimai išplėtė galimybes, leidžiančias nuskaityti ir vykdyti papildomus grėsmės krovinius.

Istorinis SystemBC, kaip ransomware atakų kanalo, diegimas buvo gerai dokumentuotas. 2020 m. gruodį tyrėjai atskleidė atvejus, kai išpirkos reikalaujančių programų operatoriai naudojasi SystemBC kaip lengvai prieinamu Tor pagrindu veikiančiu užpakaliniu vartu Ryuk ir Egregor Ransomware infekcijoms įgyvendinti.

Sistemos „SystemBC“ patrauklumas slypi veiksmingumu atliekant tokias operacijas, leidžiančias vienu metu dirbti su keliais tikslais taikant automatines procedūras. Tai savo ruožtu palengvina išpirkos reikalaujančios programinės įrangos diegimą naudojant vietinius „Windows“ įrankius, jei užpuolikams pavyktų gauti atitinkamus kredencialus.

DroxiDat gali būti naudojamas kaip „ransomware“ atakų pirmtakas

DroxiDat ryšiai su išpirkos reikalaujančių programų diegimu atsirado dėl su sveikatos priežiūra susijusio įvykio, kuriame dalyvavo DroxiDat. Šis įvykis įvyko per panašų laikotarpį, per kurį, kaip manoma, „ Nokoyawa Ransomware“ buvo platinamas kartu su „Cobalt Strike“.

Šiam išpuoliui panaudota kenkėjiška programa, priešingai nei originali SystemBC, yra supaprastinta ir efektyvi. Jo kūrėjai sumažino jo funkcionalumą, atsisakydami daugumos „SystemBC“ funkcijų, kad specializuotųsi kaip pagrindinės sistemos profiliuotojo funkcija. Jo vaidmuo yra išgauti informaciją ir perduoti ją į nuotolinį serverį.

Dėl to DroxiDat neturi galimybės atsisiųsti ir vykdyti papildomų kenkėjiškų programų. Tačiau jis gali užmegzti ryšius su nuotoliniais klausytojais, palengvindamas dvikryptį duomenų perdavimą ir gali manipuliuoti užkrėsto įrenginio sistemos registru.

Už išpuolius atsakingi grėsmės veikėjai vis dar nežinomi. Nepaisant to, esami požymiai tvirtai rodo galimą Rusijos įsilaužėlių grupių, ypač FIN12 (taip pat žinomos kaip Pistachio Tempest), įsitraukimą. Ši grupė yra žinoma dėl to, kad kartu su „Cobalt Strike Beacons“ diegia SystemBC kaip išpirkos reikalaujančių programų pristatymo strategiją.