DroxiDat Malware

En uidentifisert svindel-relatert aktør har blitt assosiert med et cyberangrep på et kraftproduksjonsselskap lokalisert i det sørlige Afrika. Angrepet benyttet en ny malware-trussel sporet som DroxiDat. Skadevaren er bekreftet å være en nyere iterasjon av tidligere oppdaget SystemBC og er antagelig utplassert som et foreløpig trinn for et forventet løsepenge-angrep.

Utrullingen av DroxiDat, en bakdør utstyrt med proxy-funksjoner, skjedde samtidig med bruken av Cobalt Strike Beacons i den vitale infrastrukturen. Forskere har fastslått at denne hendelsen skjedde i slutten av mars 2023. I løpet av denne tiden antas det at angrepsoperasjonen var i sine tidlige faser, med fokus på systemprofilering og etablering av et proxy-nettverk som bruker SOCKS5-protokollen for å lette kommunikasjonen med kommandoen. -and-Control (C2) infrastruktur.

Skaperne av DroxiDat brukte SystemBC Malware som grunnlag

SystemBC er et skadelig programvare og eksternt administrativt verktøy kodet i C/C++. Trusselen dukket først opp tilbake i 2019. Dens primære funksjon innebærer å etablere SOCKS5-proxyer på kompromitterte maskiner. Disse proxyene fungerer som kanaler for falsk trafikk knyttet til andre former for skadelig programvare. Nylige iterasjoner av denne spesielle skadevare har utvidede muligheter, som muliggjør gjenfinning og utførelse av ytterligere trusselnyttelast.

Den historiske distribusjonen av SystemBC som en kanal for løsepengevare-angrep er godt dokumentert. I desember 2020 avduket forskere tilfeller av ransomware-operatører som tyr til SystemBC som en lett tilgjengelig Tor-basert bakdør for implementering av Ryuk og Egregor Ransomware- infeksjoner.

SystemBCs appell ligger i effektiviteten i slike operasjoner, som muliggjør samtidig engasjement med flere mål gjennom automatiserte prosedyrer. Dette forenkler i sin tur distribusjon av løsepengevare via native Windows-verktøy, dersom angriperne skulle klare å skaffe riktig legitimasjon.

DroxiDat kan brukes som en forløper for ransomware-angrep

DroxiDats koblinger til distribusjon av løsepengevare stammer fra en helserelatert hendelse der DroxiDat var involvert. Denne hendelsen utspilte seg i løpet av en lignende tidsramme der Nokoyawa Ransomware antas å ha blitt distribuert i forbindelse med Cobalt Strike.

Skadevaren som brukes i dette angrepet har en strømlinjeformet og effektiv natur i motsetning til den originale SystemBC. Utviklerne har fjernet funksjonaliteten og fjernet de fleste funksjonene som finnes i SystemBC, for å spesialisere funksjonen som en grunnleggende systemprofiler. Dens rolle innebærer å trekke ut informasjon og overføre den til en ekstern server.

Som et resultat mangler DroxiDat muligheten til å laste ned og kjøre ytterligere skadelig programvare. Imidlertid kan den etablere koblinger med eksterne lyttere, forenkle toveis dataoverføring, og er i stand til å manipulere systemregisteret til den infiserte enheten.

Identifikasjonen av trusselaktørene som er ansvarlige for angrepene, er fortsatt ukjent. Ikke desto mindre tyder eksisterende indikasjoner sterkt på potensiell involvering av russiske hackergrupper, spesielt FIN12 (også kjent som Pistachio Tempest). Denne gruppen er kjent for å distribuere SystemBC sammen med Cobalt Strike Beacons som en del av deres strategi for å levere løsepengevare.