DroxiDat मालवेयर
एक अज्ञात ठगी सम्बन्धित अभिनेता दक्षिणी अफ्रिकामा स्थित एक विद्युत उत्पादन कम्पनी मा साइबर आक्रमण संग सम्बन्धित छ। आक्रमणले DroxiDat को रूपमा ट्र्याक गरिएको उपन्यास मालवेयर खतरा प्रयोग गर्यो। मालवेयर पहिले पत्ता लगाइएको SystemBC को नयाँ पुनरावृत्ति भएको पुष्टि गरिएको छ र सम्भवतः प्रत्याशित ransomware आक्रमणको लागि प्रारम्भिक चरणको रूपमा तैनात गरिएको छ।
DroxiDat को तैनाती, प्रोक्सी क्षमताहरु संग सुसज्जित ब्याकडोर, महत्वपूर्ण पूर्वाधार भित्र कोबाल्ट स्ट्राइक बीकन को उपयोग संग संगै भयो। अन्वेषकहरूले यो घटना मार्च २०२३ को अन्त्यमा घटेको हो भनेर निर्धारण गरेका छन्। यस समयमा, यो विश्वास गरिन्छ कि आक्रमण अपरेशन प्रारम्भिक चरणहरूमा थियो, प्रणाली प्रोफाइलिङ र कमाण्डसँग सञ्चारलाई सहज बनाउन SOCKS5 प्रोटोकल प्रयोग गरी प्रोक्सी नेटवर्कको स्थापनामा केन्द्रित थियो। -र-नियन्त्रण (C2) पूर्वाधार।
DroxiDat को सिर्जनाकर्ताहरूले SystemBC मालवेयरलाई आधारको रूपमा प्रयोग गरे
SystemBC एक कमोडिटी मालवेयर र C/C++ मा कोड गरिएको रिमोट प्रशासनिक उपकरण हो। खतरा सुरुमा 2019 मा देखा पर्यो। यसको प्राथमिक कार्यले सम्झौता गरिएका मेसिनहरूमा SOCKS5 प्रोक्सीहरू स्थापना गर्ने समावेश गर्दछ। यी प्रोक्सीहरूले मालवेयरका अन्य रूपहरूसँग जोडिएका बोगस ट्राफिकका लागि कन्ड्युटको रूपमा काम गर्छन्। यस विशेष मालवेयरको हालैका पुनरावृत्तिहरूले क्षमताहरू विस्तार गरेको छ, थप खतरा पेलोडहरूको पुन: प्राप्ति र कार्यान्वयन सक्षम पार्दै।
ransomware आक्रमणहरूको लागि नालीको रूपमा SystemBC को ऐतिहासिक तैनाती राम्रोसँग दस्तावेज गरिएको छ। डिसेम्बर २०२० मा, अन्वेषकहरूले Ryuk र Egregor Ransomware संक्रमणहरू लागू गर्नको लागि सजिलैसँग उपलब्ध टोर-आधारित ब्याकडोरको रूपमा SystemBC लाई रिसोर्ट गर्ने ransomware अपरेटरहरूको उदाहरणहरू अनावरण गरे।
SystemBC को अपील त्यस्ता अपरेसनहरूमा यसको प्रभावकारितामा निहित छ, जसले स्वचालित प्रक्रियाहरू मार्फत धेरै लक्ष्यहरूसँग एकसाथ संलग्न हुन अनुमति दिन्छ। यसले, बारीमा, नेटिभ विन्डोज उपकरणहरू मार्फत ransomware को तैनातीलाई सुविधा दिन्छ, आक्रमणकारीहरूले उपयुक्त प्रमाणहरू प्राप्त गर्न व्यवस्थापन गर्नुपर्छ।
DroxiDat Ransomware आक्रमणको अग्रसरको रूपमा प्रयोग गर्न सकिन्छ
ransomware परिनियोजनमा DroxiDat को जडानहरू स्वास्थ्य सेवा-सम्बन्धित घटनाबाट उत्पन्न हुन्छ जसमा DroxiDat संलग्न थियो। यो घटना उस्तै समयसीमामा देखा पर्यो जसमा नोकोयावा रान्समवेयर कोबाल्ट स्ट्राइकको संयोजनमा वितरण गरिएको मानिन्छ।
यस आक्रमणमा प्रयोग गरिएको मालवेयरले मौलिक SystemBC को विपरीत एक सुव्यवस्थित र प्रभावकारी प्रकृति राख्छ। यसका विकासकर्ताहरूले यसको कार्यक्षमतालाई तल राखेका छन्, SystemBC मा पाइने धेरैजसो सुविधाहरू शेड गर्दै, आधारभूत प्रणाली प्रोफाइलरको रूपमा यसको प्रकार्यलाई विशेष बनाउन। यसको भूमिकामा जानकारी निकाल्ने र यसलाई टाढाको सर्भरमा पठाउने समावेश छ।
नतिजाको रूपमा, DroxiDat मा अतिरिक्त मालवेयर पेलोडहरू डाउनलोड र कार्यान्वयन गर्ने क्षमताको अभाव छ। यद्यपि, यसले टाढाको श्रोताहरूसँग लिङ्कहरू स्थापना गर्न सक्छ, द्विदिशात्मक डेटा स्थानान्तरणको सुविधा दिन्छ, र संक्रमित यन्त्रको प्रणाली रजिस्ट्रीलाई हेरफेर गर्न सक्षम छ।
आक्रमणका लागि जिम्मेवार व्यक्तिहरूको पहिचान अज्ञात रहन्छ। जे होस्, अवस्थित संकेतहरूले रूसी ह्याकर समूहहरू, विशेष गरी FIN12 (पिस्ता टेम्पेस्ट पनि भनिन्छ) को सम्भावित संलग्नतालाई दृढतापूर्वक सुझाव दिन्छ। यो समूह ransomware डेलिभर गर्ने रणनीतिको भागको रूपमा कोबाल्ट स्ट्राइक बीकन्सको साथमा SystemBC तैनाथ गर्नका लागि परिचित छ।
