Złośliwe oprogramowanie DroxiDat

Niezidentyfikowany aktor związany z oszustwami został powiązany z cyberatakiem na firmę energetyczną zlokalizowaną w południowej Afryce. W ataku wykorzystano nowe zagrożenie złośliwym oprogramowaniem śledzone jako DroxiDat. Potwierdzono, że złośliwe oprogramowanie jest nowszą iteracją wcześniej wykrytego SystemBC i prawdopodobnie zostało wdrożone jako wstępny krok do przewidywanego ataku ransomware.

Wdrożenie DroxiDat, backdoora wyposażonego w funkcje proxy, miało miejsce równolegle z wykorzystaniem Cobalt Strike Beacons w kluczowej infrastrukturze. Badacze ustalili, że incydent ten miał miejsce pod koniec marca 2023 r. Uważa się, że w tym czasie operacja ataku znajdowała się we wczesnej fazie, skupiając się na profilowaniu systemu i ustanowieniu sieci proxy wykorzystującej protokół SOCKS5 w celu ułatwienia komunikacji z dowództwem -and-Control (C2) infrastruktura.

Twórcy DroxiDat wykorzystali złośliwe oprogramowanie SystemBC jako podstawę

SystemBC to popularne złośliwe oprogramowanie i narzędzie do zdalnej administracji napisane w języku C/C++. Zagrożenie pojawiło się po raz pierwszy w 2019 roku. Jego podstawową funkcją jest ustanawianie serwerów proxy SOCKS5 na zaatakowanych maszynach. Te serwery proxy służą jako kanały dla fałszywego ruchu powiązanego z innymi formami złośliwego oprogramowania. Ostatnie iteracje tego konkretnego złośliwego oprogramowania mają rozszerzone możliwości, umożliwiając pobieranie i wykonywanie dodatkowych ładunków zagrożeń.

Historyczne wdrażanie SystemBC jako kanału ataków ransomware zostało dobrze udokumentowane. W grudniu 2020 r. badacze ujawnili przypadki, w których operatorzy ransomware uciekali się do SystemBC jako łatwo dostępnego backdoora opartego na Torze do wdrażania infekcji Ryuk i Egregor Ransomware .

Atrakcyjność SystemBC polega na jego skuteczności w takich operacjach, co pozwala na jednoczesną walkę z wieloma celami za pomocą zautomatyzowanych procedur. To z kolei ułatwia wdrażanie oprogramowania ransomware za pośrednictwem natywnych narzędzi systemu Windows, jeśli atakującym uda się uzyskać odpowiednie dane uwierzytelniające.

DroxiDat może być używany jako prekursor ataków ransomware

Powiązania DroxiDat z wdrażaniem oprogramowania ransomware pochodzą z zdarzenia związanego z opieką zdrowotną, w które zaangażowany był DroxiDat. Zdarzenie to miało miejsce w podobnych ramach czasowych, w których uważa się, że Nokoyawa Ransomware było dystrybuowane w połączeniu z Cobalt Strike.

Szkodliwe oprogramowanie wykorzystane w tym ataku ma usprawniony i wydajny charakter w przeciwieństwie do oryginalnego SystemBC. Jego twórcy ograniczyli jego funkcjonalność, odrzucając większość funkcji znalezionych w SystemBC, aby wyspecjalizować swoją funkcję jako podstawowego narzędzia do profilowania systemu. Jego rola polega na wydobywaniu informacji i przesyłaniu ich do zdalnego serwera.

W rezultacie DroxiDat nie ma możliwości pobierania i uruchamiania dodatkowych szkodliwych programów. Może jednak ustanawiać połączenia ze zdalnymi słuchaczami, ułatwiając dwukierunkowy transfer danych, a także manipulować rejestrem systemowym zainfekowanego urządzenia.

Identyfikacja cyberprzestępców odpowiedzialnych za ataki pozostaje nieznana. Niemniej jednak istniejące przesłanki zdecydowanie wskazują na potencjalny udział rosyjskich grup hakerskich, w szczególności FIN12 (znanej również jako Pistachio Tempest). Grupa ta jest znana z wdrażania SystemBC wraz z Cobalt Strike Beacons w ramach swojej strategii dostarczania oprogramowania ransomware.