Malware DroxiDat

Un actor neidentificat legat de fraudă a fost asociat cu un atac cibernetic asupra unei companii de producere a energiei din Africa de Sud. Atacul a folosit o nouă amenințare malware urmărită ca DroxiDat. Se confirmă că malware-ul este o iterație mai nouă a SystemBC descoperit anterior și este probabil implementat ca pas preliminar pentru un atac anticipat de ransomware.

Implementarea DroxiDat, o ușă din spate echipată cu capabilități proxy, a avut loc concomitent cu utilizarea Cobalt Strike Beacons în cadrul infrastructurii vitale. Cercetătorii au stabilit că acest incident a avut loc la sfârșitul lunii martie 2023. În acest timp, se crede că operațiunea de atac a fost în fazele sale incipiente, concentrându-se pe profilarea sistemului și pe stabilirea unei rețele proxy care utilizează protocolul SOCKS5 pentru a facilita comunicarea cu Comandamentul. -and-Control (C2) infrastructura.

Creatorii DroxiDat au folosit programul malware SystemBC ca bază

SystemBC este un program malware și un instrument administrativ de la distanță codificat în C/C++. Amenințarea a apărut inițial în 2019. Funcția sa principală implică stabilirea de proxy SOCKS5 pe mașinile compromise. Aceste proxy servesc drept canale pentru traficul fals legat de alte forme de malware. Iterațiile recente ale acestui program malware special au capacități extinse, permițând regăsirea și executarea unor încărcături suplimentare de amenințări.

Implementarea istorică a SystemBC ca canal pentru atacurile ransomware a fost bine documentată. În decembrie 2020, cercetătorii au dezvăluit cazuri de operatori de ransomware care recurg la SystemBC ca o ușă din spate bazată pe Tor ușor disponibilă pentru implementarea infecțiilor Ryuk și Egregor Ransomware .

Atractia SystemBC constă în eficacitatea sa în cadrul unor astfel de operațiuni, permițând implicarea simultană cu mai multe ținte prin proceduri automate. Acest lucru, la rândul său, facilitează implementarea de ransomware prin instrumente native Windows, în cazul în care atacatorii reușesc să obțină acreditările corespunzătoare.

DroxiDat poate fi folosit ca precursor al atacurilor ransomware

Conexiunile DroxiDat la implementarea ransomware-ului provin dintr-un eveniment legat de asistența medicală în care a fost implicat DroxiDat. Acest eveniment a avut loc într-un interval de timp similar în care se crede că Nokoyawa Ransomware a fost distribuit împreună cu Cobalt Strike.

Malware-ul utilizat în acest atac are o natură simplificată și eficientă, în contrast cu SystemBC original. Dezvoltatorii săi i-au redus funcționalitatea, renunțând la majoritatea caracteristicilor găsite în SystemBC, pentru a-și specializa funcția de profiler de bază de sistem. Rolul său presupune extragerea informațiilor și transmiterea acesteia către un server la distanță.

Drept urmare, DroxiDat nu are capacitatea de a descărca și executa încărcături suplimentare de malware. Cu toate acestea, poate stabili legături cu ascultătorii de la distanță, facilitând transferul bidirecțional de date și este capabil să manipuleze registrul de sistem al dispozitivului infectat.

Identificarea actorilor de amenințare responsabili de atacuri rămâne necunoscută. Cu toate acestea, indicii existente sugerează cu tărie potențiala implicare a grupurilor de hackeri ruși, în special FIN12 (cunoscut și sub numele de Pistachio Tempest). Acest grup este cunoscut pentru implementarea SystemBC alături de Cobalt Strike Beacons, ca parte a strategiei lor de livrare a ransomware.