Zlonamerna programska oprema DroxiDat
Neidentificirani akter, povezan z goljufijo, je bil povezan s kibernetskim napadom na podjetje za proizvodnjo električne energije v južni Afriki. Napad je uporabil novo grožnjo zlonamerne programske opreme, ki se ji sledi kot DroxiDat. Potrjeno je, da je zlonamerna programska oprema novejša ponovitev predhodno odkritega SystemBC in je domnevno uvedena kot predhodni korak za pričakovani napad z izsiljevalsko programsko opremo.
Uvedba DroxiDat, stranskih vrat, opremljenih z zmogljivostmi posrednika, se je zgodila sočasno z uporabo Cobalt Strike Beacons v vitalni infrastrukturi. Raziskovalci so ugotovili, da se je ta incident zgodil konec marca 2023. V tem času se domneva, da je bila operacija napada v zgodnjih fazah, osredotočena na profiliranje sistema in vzpostavitev proxy omrežja, ki uporablja protokol SOCKS5 za lažjo komunikacijo s poveljstvom -and-Control (C2) infrastruktura.
Ustvarjalci DroxiData so kot osnovo uporabili zlonamerno programsko opremo SystemBC
SystemBC je zlonamerna programska oprema in orodje za oddaljeno skrbništvo, kodirano v C/C++. Grožnja se je sprva pojavila leta 2019. Njena primarna funkcija vključuje vzpostavitev proxyjev SOCKS5 na ogroženih strojih. Ti posredniki služijo kot kanali za lažni promet, povezan z drugimi oblikami zlonamerne programske opreme. Nedavne ponovitve te posebne zlonamerne programske opreme imajo razširjene zmogljivosti, kar omogoča pridobivanje in izvajanje dodatnih groženj.
Zgodovinska uvedba SystemBC kot kanala za napade z izsiljevalsko programsko opremo je bila dobro dokumentirana. Decembra 2020 so raziskovalci razkrili primere operaterjev izsiljevalske programske opreme, ki se zatekajo k SystemBC kot takoj dostopnemu stranskemu vratu, ki temelji na Tor, za izvajanje okužb z izsiljevalsko programsko opremo Ryuk in Egregor .
Privlačnost SystemBC je v njegovi učinkovitosti v takih operacijah, saj omogoča hkratno sodelovanje z več cilji prek avtomatiziranih postopkov. To pa olajša uvajanje izsiljevalske programske opreme prek izvornih orodij Windows, če bi napadalcem uspelo pridobiti ustrezne poverilnice.
DroxiDat se lahko uporablja kot predhodnik napadov izsiljevalske programske opreme
Povezave DroxiData z uvedbo izsiljevalske programske opreme izvirajo iz dogodka, povezanega z zdravstveno oskrbo, v katerega je bil vpleten DroxiDat. Ta dogodek se je odvijal v podobnem časovnem okviru, v katerem naj bi bila izsiljevalska programska oprema Nokoyawa distribuirana v povezavi s Cobalt Strike.
Zlonamerna programska oprema, uporabljena v tem napadu, ima poenostavljeno in učinkovito naravo v nasprotju z originalnim SystemBC. Njegovi razvijalci so zmanjšali njegovo funkcionalnost in opustili večino funkcij, ki jih najdemo v SystemBC, da bi specializirali njegovo funkcijo osnovnega profilerja sistema. Njegova vloga vključuje pridobivanje informacij in njihov prenos na oddaljeni strežnik.
Posledično DroxiDat nima zmožnosti prenosa in izvajanja dodatnih obremenitev zlonamerne programske opreme. Lahko pa vzpostavi povezave z oddaljenimi poslušalci, kar olajša dvosmerni prenos podatkov, in lahko manipulira s sistemskim registrom okužene naprave.
Identifikacija groženj, odgovornih za napade, ostaja neznana. Kljub temu obstoječe indikacije močno kažejo na potencialno vpletenost ruskih hekerskih skupin, zlasti FIN12 (znane tudi kot Pistachio Tempest). Ta skupina je znana po uvajanju SystemBC skupaj s Cobalt Strike Beacons kot del svoje strategije za dostavo izsiljevalske programske opreme.
