DroxiDat-malware

Een niet-geïdentificeerde fraudegerelateerde actor is in verband gebracht met een cyberaanval op een energieopwekkingsbedrijf in zuidelijk Afrika. De aanval maakte gebruik van een nieuwe malwaredreiging die werd gevolgd als DroxiDat. Er is bevestigd dat de malware een nieuwere iteratie is van de eerder ontdekte SystemBC en vermoedelijk wordt ingezet als voorbereidende stap voor een verwachte ransomware-aanval.

De inzet van DroxiDat, een backdoor uitgerust met proxymogelijkheden, vond gelijktijdig plaats met het gebruik van Cobalt Strike Beacons binnen de vitale infrastructuur. Onderzoekers hebben vastgesteld dat dit incident eind maart 2023 plaatsvond. Gedurende deze tijd wordt aangenomen dat de aanvalsoperatie zich in de beginfase bevond, waarbij de nadruk lag op systeemprofilering en het opzetten van een proxynetwerk dat gebruikmaakt van het SOCKS5-protocol om de communicatie met het commando te vergemakkelijken. -and-Control (C2) infrastructuur.

De makers van DroxiDat gebruikten de SystemBC-malware als basis

SystemBC is een standaardmalware- en beheertool op afstand, gecodeerd in C/C++. De dreiging dook voor het eerst op in 2019. De primaire functie ervan is het opzetten van SOCKS5-proxy's op gecompromitteerde machines. Deze proxy's dienen als kanalen voor nepverkeer dat is gekoppeld aan andere vormen van malware. Recente iteraties van deze specifieke malware hebben uitgebreide mogelijkheden, waardoor het ophalen en uitvoeren van extra bedreigingspayloads mogelijk is.

De historische inzet van SystemBC als kanaal voor ransomware-aanvallen is goed gedocumenteerd. In december 2020 onthulden onderzoekers gevallen van ransomware-operators die hun toevlucht namen tot de SystemBC als een direct beschikbare Tor-gebaseerde achterdeur voor het implementeren van Ryuk- en Egregor Ransomware- infecties.

De aantrekkingskracht van SystemBC ligt in de effectiviteit ervan binnen dergelijke operaties, waardoor gelijktijdige betrokkenheid bij meerdere doelen mogelijk is via geautomatiseerde procedures. Dit vergemakkelijkt op zijn beurt de inzet van ransomware via native Windows-tools, mochten de aanvallers erin slagen de juiste inloggegevens te bemachtigen.

DroxiDat kan worden gebruikt als voorloper van ransomware-aanvallen

De connecties van DroxiDat met de implementatie van ransomware zijn afkomstig van een zorggerelateerde gebeurtenis waarbij DroxiDat betrokken was. Deze gebeurtenis vond plaats in een vergelijkbaar tijdsbestek waarin de Nokoyawa Ransomware vermoedelijk is verspreid in combinatie met Cobalt Strike.

De malware die bij deze aanval wordt gebruikt, heeft een gestroomlijnd en efficiënt karakter in tegenstelling tot de oorspronkelijke SystemBC. De ontwikkelaars hebben de functionaliteit uitgekleed en de meeste functies van SystemBC geschrapt om zijn functie als basissysteemprofiler te specialiseren. Zijn rol omvat het extraheren van informatie en het verzenden naar een externe server.

Als gevolg hiervan mist DroxiDat de mogelijkheid om aanvullende malware-payloads te downloaden en uit te voeren. Het kan echter koppelingen tot stand brengen met luisteraars op afstand, wat bidirectionele gegevensoverdracht mogelijk maakt, en is in staat om het systeemregister van het geïnfecteerde apparaat te manipuleren.

De identificatie van de dreigingsactoren die verantwoordelijk zijn voor de aanvallen blijft onbekend. Desalniettemin wijzen bestaande aanwijzingen sterk op de mogelijke betrokkenheid van Russische hackergroepen, met name FIN12 (ook bekend als Pistachio Tempest). Deze groep staat bekend om het inzetten van SystemBC naast Cobalt Strike Beacons als onderdeel van hun strategie voor het leveren van ransomware.