Perisian Hasad DroxiDat
Seorang pelakon berkaitan penipuan yang tidak dikenali telah dikaitkan dengan serangan siber ke atas syarikat penjanaan kuasa yang terletak di selatan Afrika. Serangan itu menggunakan ancaman malware baru yang dikesan sebagai DroxiDat. Malware itu disahkan sebagai lelaran yang lebih baharu daripada SystemBC yang ditemui sebelum ini dan mungkin digunakan sebagai langkah awal untuk serangan perisian tebusan yang dijangkakan.
Penggunaan DroxiDat, pintu belakang yang dilengkapi dengan keupayaan proksi, berlaku serentak dengan penggunaan Suar Cobalt Strike dalam infrastruktur penting. Penyelidik telah menentukan bahawa insiden ini berlaku pada akhir Mac 2023. Pada masa ini, dipercayai bahawa operasi serangan itu berada di fasa awalnya, memfokuskan pada pemprofilan sistem dan penubuhan rangkaian proksi menggunakan protokol SOCKS5 untuk memudahkan komunikasi dengan Perintah -dan-Kawalan (C2) infrastruktur.
Pencipta DroxiDat Menggunakan Malware SystemBC sebagai Asas
SystemBC ialah perisian hasad komoditi dan alat pentadbiran jauh berkod dalam C/C++. Ancaman itu mula muncul pada tahun 2019. Fungsi utamanya melibatkan penubuhan proksi SOCKS5 pada mesin yang terjejas. Proksi ini berfungsi sebagai saluran untuk trafik palsu yang dikaitkan dengan bentuk perisian hasad lain. Lelaran terbaharu perisian hasad khusus ini telah mengembangkan keupayaan, membolehkan pengambilan semula dan pelaksanaan muatan ancaman tambahan.
Penggunaan sejarah SystemBC sebagai saluran untuk serangan perisian tebusan telah didokumenkan dengan baik. Pada Disember 2020, penyelidik mendedahkan contoh pengendali perisian tebusan yang menggunakan SystemBC sebagai pintu belakang berasaskan Tor yang sedia tersedia untuk melaksanakan jangkitan Ryuk dan Egregor Ransomware .
Daya tarikan SystemBC terletak pada keberkesanannya dalam operasi sedemikian, membolehkan penglibatan serentak dengan pelbagai sasaran melalui prosedur automatik. Ini, seterusnya, memudahkan penggunaan perisian tebusan melalui alat Windows asli, sekiranya penyerang berjaya mendapatkan kelayakan yang sesuai.
DroxiDat Boleh Digunakan sebagai Prekursor Serangan Ransomware
Sambungan DroxiDat kepada penggunaan perisian tebusan berasal daripada kejadian berkaitan penjagaan kesihatan di mana DroxiDat terlibat. Peristiwa ini berlaku dalam tempoh masa yang sama di mana Nokoyawa Ransomware dipercayai telah diedarkan bersempena dengan Cobalt Strike.
Malware yang digunakan dalam serangan ini mempunyai sifat yang diperkemas dan cekap berbeza dengan SystemBC yang asal. Pembangunnya telah melucutkan fungsinya, menghilangkan kebanyakan ciri yang terdapat dalam SystemBC, untuk mengkhususkan fungsinya sebagai pemprofil sistem asas. Peranannya melibatkan mengekstrak maklumat dan menghantarnya ke pelayan jauh.
Akibatnya, DroxiDat tidak mempunyai keupayaan untuk memuat turun dan melaksanakan muatan perisian hasad tambahan. Walau bagaimanapun, ia boleh mewujudkan pautan dengan pendengar jauh, memudahkan pemindahan data dua hala, dan mampu memanipulasi sistem pendaftaran peranti yang dijangkiti.
Pengenalpastian aktor ancaman yang bertanggungjawab bagi serangan itu masih tidak diketahui. Walau bagaimanapun, tanda-tanda yang sedia ada sangat mencadangkan penglibatan kumpulan penggodam Rusia, terutamanya FIN12 (juga dikenali sebagai Pistachio Tempest). Kumpulan ini terkenal kerana menggunakan SystemBC bersama Cobalt Strike Beacons sebagai sebahagian daripada strategi mereka untuk menghantar perisian tebusan.
