DroxiDat ļaunprātīga programmatūra

Neidentificēts ar krāpšanu saistīts aktieris ir saistīts ar kiberuzbrukumu elektroenerģijas ražošanas uzņēmumam, kas atrodas Āfrikas dienvidos. Uzbrukumā tika izmantots jauns ļaunprātīgas programmatūras drauds, kas izsekots kā DroxiDat. Ir apstiprināts, ka ļaunprogrammatūra ir jaunāka iepriekš atklātā SystemBC iterācija, un, iespējams, tā tiek izvietota kā sākotnējais solis paredzamajam izspiedējvīrusa uzbrukumam.

DroxiDat, aizmugures durvis, kas aprīkotas ar starpniekservera iespējām, izvietošana notika vienlaikus ar Cobalt Strike Beacons izmantošanu svarīgajā infrastruktūrā. Pētnieki ir noskaidrojuši, ka šis incidents notika 2023. gada marta beigās. Tiek uzskatīts, ka šajā laikā uzbrukuma operācija bija agrīnā fāzē, koncentrējoties uz sistēmas profilēšanu un starpniekservera tīkla izveidi, izmantojot SOCKS5 protokolu, lai atvieglotu saziņu ar komandu. -un-Control (C2) infrastruktūra.

DroxiDat veidotāji par pamatu izmantoja SystemBC ļaunprātīgu programmatūru

SystemBC ir preču ļaunprātīga programmatūra un attālais administratīvais rīks, kas kodēts C/C++. Sākotnēji draudi parādījās 2019. gadā. Tā galvenā funkcija ir SOCKS5 starpniekserveru izveide apdraudētajās iekārtās. Šie starpniekserveri kalpo kā kanāli viltus datplūsmai, kas saistīta ar cita veida ļaunprātīgu programmatūru. Šīs konkrētās ļaunprogrammatūras nesenajām iterācijām ir paplašinātas iespējas, ļaujot izgūt un izpildīt papildu apdraudējuma slodzes.

SystemBC vēsturiskā izvietošana kā izspiedējvīrusu uzbrukumu kanāls ir labi dokumentēta. 2020. gada decembrī pētnieki atklāja gadījumus, kad izspiedējvīrusu operatori izmantoja SystemBC kā viegli pieejamu Tor balstītu aizmugures durvis Ryuk un Egregor Ransomware infekciju ieviešanai.

SystemBC pievilcība ir tā efektivitāte šādās darbībās, ļaujot vienlaikus iesaistīties vairākiem mērķiem, izmantojot automatizētas procedūras. Tas savukārt atvieglo izspiedējvīrusu izvietošanu, izmantojot vietējos Windows rīkus, ja uzbrucējiem izdosies iegūt atbilstošus akreditācijas datus.

DroxiDat var izmantot kā Ransomware uzbrukumu priekšteci

DroxiDat savienojumi ar izspiedējvīrusu izvietošanu ir radušies no ar veselības aprūpi saistīta notikuma, kurā bija iesaistīts DroxiDat. Šis notikums risinājās līdzīgā laika posmā, kurā tiek uzskatīts, ka Nokoyawa Ransomware tika izplatīts kopā ar Cobalt Strike.

Šajā uzbrukumā izmantotajai ļaunprogrammatūrai ir racionalizēts un efektīvs raksturs atšķirībā no sākotnējās SystemBC. Tās izstrādātāji ir samazinājuši tā funkcionalitāti, atmetot lielāko daļu SystemBC pieejamo funkciju, lai specializētu tās kā pamata sistēmas profilētāja funkciju. Tās uzdevums ir iegūt informāciju un pārsūtīt to uz attālo serveri.

Tā rezultātā DroxiDat trūkst iespēju lejupielādēt un izpildīt papildu ļaunprātīgas programmatūras slodzes. Tomēr tas var izveidot saites ar attāliem klausītājiem, atvieglojot divvirzienu datu pārsūtīšanu un spēj manipulēt ar inficētās ierīces sistēmas reģistru.

Par uzbrukumiem atbildīgo draudu dalībnieku identificēšana joprojām nav zināma. Tomēr esošās norādes stingri norāda uz iespējamu Krievijas hakeru grupu, īpaši FIN12 (pazīstams arī kā Pistachio Tempest), iesaistīšanos. Šī grupa ir pazīstama ar SystemBC izvietošanu kopā ar Cobalt Strike Beacons kā daļu no savas stratēģijas izpirkuma programmatūras piegādei.