DroxiDat Malware
Um autor não identificado relacionado a fraude foi associado a um ataque cibernético a uma empresa de geração de energia localizada no sul da África. O ataque utilizou uma nova ameaça de malware rastreada como DroxiDat. O malware é confirmado como uma iteração mais recente do SystemBC descoberto anteriormente e é presumivelmente implantado como uma etapa preliminar para um ataque de ransomware antecipado.
A implantação do DroxiDat, um backdoor equipado com recursos de proxy, ocorreu simultaneamente com a utilização de Beacons do Cobalt Strike na infraestrutura vital. Os pesquisadores determinaram que esse incidente ocorreu no final de março de 2023. Durante esse período, acredita-se que a operação de ataque estava em suas fases iniciais, com foco na criação de perfis do sistema e no estabelecimento de uma rede proxy utilizando o protocolo SOCKS5 para facilitar a comunicação com o Comando -e-controle (C2) infra-estrutura.
Os Criadores do DroxiDat Usaram o Malware SystemBC como Base
O SystemBC é um malware comum e uma ferramenta administrativa remota codificada em C/C++. A ameaça surgiu inicialmente em 2019. Sua função principal envolve o estabelecimento de proxies SOCKS5 em máquinas comprometidas. Esses proxies servem como canais para tráfego falso vinculado a outras formas de malware. As iterações recentes desse malware específico expandiram os recursos, permitindo a recuperação e a execução de cargas de ameaças adicionais.
A implantação histórica do SystemBC como canal para ataques de ransomware foi bem documentada. Em dezembro de 2020, os pesquisadores revelaram casos de operadores de ransomware que recorreram ao SystemBC como um backdoor baseado em Tor prontamente disponível para implementar infecções pelo Ryuk e pelo Egregor Ransomware.
O apelo do SystemBC reside em sua eficácia nessas operações, permitindo o envolvimento simultâneo com vários alvos por meio de procedimentos automatizados. Isso, por sua vez, facilita a implantação de ransomware por meio de ferramentas nativas do Windows, caso os invasores consigam obter as credenciais apropriadas.
O DroxiDat pode ser Usado como Precursor de Ataques de Ransomware
As conexões do DroxiDat com a implantação de ransomware se originam de uma ocorrência relacionada à saúde na qual o DroxiDat estava envolvido. Este evento se desenrolou durante um período de tempo semelhante no qual acredita-se que o Nokoyawa Ransomware tenha sido distribuído em conjunto com o Cobalt Strike.
O malware utilizado neste ataque possui uma natureza simplificada e eficiente em contraste com o SystemBC original. Seus desenvolvedores reduziram sua funcionalidade, eliminando a maioria dos recursos encontrados no SystemBC, para especializar sua função como um criador de perfil de sistema básico. Sua função envolve extrair informações e transmiti-las a um servidor remoto.
Como resultado, o DroxiDat não tem a capacidade de baixar e executar cargas de malware adicionais. No entanto, ele pode estabelecer links com ouvintes remotos, facilitando a transferência bidirecional de dados, e é capaz de manipular o registro do sistema do dispositivo infectado.
A identificação dos agentes de ameaça responsáveis pelos ataques permanece desconhecida. No entanto, as indicações existentes sugerem fortemente o envolvimento potencial de grupos de hackers russos, particularmente FIN12 (também conhecido como Pistachio Tempest). Esse grupo é conhecido por implantar o SystemBC junto com os Beacons do Cobalt Strike como parte de sua estratégia de distribuição de ransomware.
