Škodlivý softvér DroxiDat

Neznámy aktér súvisiaci s podvodom bol spájaný s kybernetickým útokom na spoločnosť vyrábajúcu energiu so sídlom v južnej Afrike. Útok využil novú hrozbu škodlivého softvéru sledovanú ako DroxiDat. Malvér je potvrdený ako novšia iterácia predtým objaveného SystemBC a je pravdepodobne nasadený ako predbežný krok pre očakávaný ransomvérový útok.

K nasadeniu DroxiDat, backdooru vybaveného funkciami proxy, došlo súčasne s využitím Cobalt Strike Beacons v rámci životne dôležitej infraštruktúry. Výskumníci zistili, že k tomuto incidentu došlo koncom marca 2023. Počas tohto obdobia sa predpokladá, že operácia útoku bola v počiatočných fázach so zameraním na profilovanie systému a zriadenie proxy siete využívajúcej protokol SOCKS5 na uľahčenie komunikácie s veliteľstvom -and-Control (C2) infraštruktúra.

Tvorcovia DroxiDat použili ako základ malvér SystemBC

SystemBC je komoditný malvér a nástroj na vzdialenú správu kódovaný v C/C++. Hrozba sa pôvodne objavila už v roku 2019. Jej primárna funkcia zahŕňa zriadenie SOCKS5 proxy na napadnutých počítačoch. Tieto proxy slúžia ako kanály pre falošnú prevádzku spojenú s inými formami malvéru. Nedávne iterácie tohto konkrétneho malvéru majú rozšírené možnosti, čo umožňuje získavanie a spúšťanie ďalších hrozieb.

Historické nasadenie SystemBC ako kanála pre útoky ransomvéru bolo dobre zdokumentované. V decembri 2020 výskumníci odhalili príklady prevádzkovateľov ransomvéru, ktorí sa uchyľujú k SystemBC ako ľahko dostupné zadné vrátka založené na Tor na implementáciu infekcií Ryuk a Egregor Ransomware .

Príťažlivosť SystemBC spočíva v jeho efektívnosti v rámci takýchto operácií, čo umožňuje simultánne zapojenie viacerých cieľov prostredníctvom automatizovaných postupov. To zase uľahčuje nasadenie ransomvéru prostredníctvom natívnych nástrojov Windows, ak by sa útočníkom podarilo získať príslušné poverenia.

DroxiDat môže byť použitý ako predchodca útokov ransomvéru

Pripojenie DoxiDat k nasadeniu ransomvéru pochádza z udalosti súvisiacej so zdravotnou starostlivosťou, do ktorej bol zapojený DroxiDat. Táto udalosť sa odohrala v podobnom časovom rámci, v ktorom sa predpokladá, že Nokoyawa Ransomware bol distribuovaný v spojení s Cobalt Strike.

Malvér použitý pri tomto útoku má na rozdiel od pôvodného SystemBC zjednodušenú a efektívnu povahu. Jeho vývojári odstránili jeho funkčnosť, čím sa zbavili väčšiny funkcií nachádzajúcich sa v SystemBC, aby špecializovali jeho funkciu ako základný systémový profiler. Jeho úlohou je extrahovať informácie a preniesť ich na vzdialený server.

Výsledkom je, že DroxiDat nemá možnosť stiahnuť a spustiť ďalšie užitočné zaťaženie škodlivého softvéru. Dokáže však nadviazať spojenie so vzdialenými poslucháčmi, čím uľahčuje obojsmerný prenos údajov a je schopný manipulovať so systémovým registrom infikovaného zariadenia.

Identifikácia aktérov hrozby zodpovedných za útoky zostáva neznáma. Existujúce náznaky však silne naznačujú potenciálne zapojenie ruských hackerských skupín, najmä FIN12 (známej aj ako Pistachio Tempest). Táto skupina je známa nasadením SystemBC spolu s Cobalt Strike Beacons ako súčasť svojej stratégie na poskytovanie ransomvéru.