Вредоносное ПО DroxiDat

Неизвестный субъект, связанный с мошенничеством, был связан с кибератакой на компанию по производству электроэнергии, расположенную на юге Африки. В атаке использовалась новая угроза вредоносного ПО, отслеживаемая как DrxiDat. Подтверждено, что это вредоносное ПО является более новой итерацией ранее обнаруженного SystemBC и предположительно развернуто в качестве предварительного шага для ожидаемой атаки программ-вымогателей.

Развертывание DroxiDat, бэкдора, оснащенного прокси-возможностями, произошло одновременно с использованием маяков Cobalt Strike в жизненно важной инфраструктуре. Исследователи определили, что этот инцидент произошел в конце марта 2023 года. Считается, что в это время операция атаки находилась на ранней стадии, основное внимание уделялось профилированию системы и созданию прокси-сети с использованием протокола SOCKS5 для облегчения связи с Командованием. инфраструктура управления и контроля (C2).

Создатели DroxiDat взяли за основу вредоносную программу SystemBC

SystemBC — распространенное вредоносное ПО и инструмент удаленного администрирования, написанный на C/C++. Угроза впервые появилась еще в 2019 году. Ее основная функция заключается в установке прокси-серверов SOCKS5 на скомпрометированные машины. Эти прокси служат проводниками для фиктивного трафика, связанного с другими формами вредоносного ПО. Недавние версии этой конкретной вредоносной программы имеют расширенные возможности, что позволяет извлекать и выполнять дополнительные полезные нагрузки угроз.

Историческое использование SystemBC в качестве канала для атак программ-вымогателей хорошо задокументировано. В декабре 2020 года исследователи обнародовали случаи, когда операторы программ-вымогателей прибегали к SystemBC в качестве легкодоступного бэкдора на основе Tor для внедрения инфекций Ryuk и Egregor Ransomware .

Привлекательность SystemBC заключается в его эффективности в таких операциях, позволяющей одновременно взаимодействовать с несколькими целями с помощью автоматизированных процедур. Это, в свою очередь, облегчает развертывание программ-вымогателей с помощью собственных инструментов Windows, если злоумышленникам удастся получить соответствующие учетные данные.

DroxiDat может использоваться как предшественник атак программ-вымогателей

Связи DroxiDat с развертыванием программ-вымогателей связаны с инцидентом, связанным со здравоохранением, в котором участвовал DroxiDat. Это событие произошло в тот же период времени, когда, как считается, программа-вымогатель Nokoyawa распространялась вместе с Cobalt Strike.

Вредоносное ПО, использованное в этой атаке, отличается оптимизированным и эффективным характером, в отличие от оригинального SystemBC. Его разработчики урезали его функциональность, отказавшись от большинства функций, имеющихся в SystemBC, чтобы специализировать его функции в качестве базового системного профилировщика. Его роль заключается в извлечении информации и ее передаче на удаленный сервер.

В результате DroxiDat не может загружать и запускать дополнительные вредоносные программы. Однако он может устанавливать связи с удаленными слушателями, облегчая двунаправленную передачу данных, и способен манипулировать системным реестром зараженного устройства.

Идентификация субъектов угрозы, ответственных за атаки, остается неизвестной. Тем не менее, существующие признаки указывают на потенциальную причастность российских хакерских групп, в частности FIN12 (также известной как Pistachio Tempest). Эта группа известна тем, что развертывает SystemBC вместе с маяками Cobalt Strike в рамках своей стратегии по доставке программ-вымогателей.