DroxiDat Malware
Një aktor i paidentifikuar i lidhur me mashtrimin është lidhur me një sulm kibernetik ndaj një kompanie të prodhimit të energjisë në Afrikën jugore. Sulmi përdori një kërcënim të ri malware të gjurmuar si DroxiDat. Malware është konfirmuar të jetë një përsëritje më e re e SystemBC të zbuluar më parë dhe me sa duket është vendosur si një hap paraprak për një sulm të parashikuar ransomware.
Vendosja e DroxiDat, një derë e pasme e pajisur me aftësi proxy, ndodhi njëkohësisht me përdorimin e Cobalt Strike Beacons brenda infrastrukturës jetike. Studiuesit kanë përcaktuar se ky incident ndodhi në fund të marsit 2023. Gjatë kësaj kohe, besohet se operacioni i sulmit ishte në fazat e tij të hershme, duke u fokusuar në profilin e sistemit dhe krijimin e një rrjeti proxy duke përdorur protokollin SOCKS5 për të lehtësuar komunikimin me komandën Infrastruktura -dhe-Control (C2).
Krijuesit e DroxiDat përdorën malware të SystemBC si bazë
SystemBC është një malware i keq dhe një mjet administrativ në distancë i koduar në C/C++. Kërcënimi u shfaq fillimisht në vitin 2019. Funksioni i tij kryesor përfshin krijimin e proxies SOCKS5 në makinat e komprometuara. Këto proxies shërbejnë si kanale për trafik fals të lidhur me forma të tjera malware. Përsëritjet e fundit të këtij malware të veçantë kanë zgjeruar aftësitë, duke mundësuar rikthimin dhe ekzekutimin e ngarkesave shtesë të kërcënimit.
Vendosja historike e SystemBC si një kanal për sulmet e ransomware është dokumentuar mirë. Në dhjetor 2020, studiuesit zbuluan raste të operatorëve të ransomware që përdorin SystemBC si një derë e pasme e disponueshme e bazuar në Tor për zbatimin e infeksioneve Ryuk dhe Egregor Ransomware .
Apeli i SystemBC qëndron në efektivitetin e tij brenda operacioneve të tilla, duke lejuar angazhimin e njëkohshëm me objektiva të shumtë nëpërmjet procedurave të automatizuara. Kjo, nga ana tjetër, lehtëson vendosjen e ransomware-it nëpërmjet mjeteve amtare të Windows, nëse sulmuesit arrijnë të marrin kredencialet e duhura.
DroxiDat mund të përdoret si pararendës i sulmeve të Ransomware
Lidhjet e DroxiDat me vendosjen e ransomware kanë origjinën nga një ngjarje e lidhur me kujdesin shëndetësor në të cilën DroxiDat ishte përfshirë. Kjo ngjarje u shpalos gjatë një periudhe të ngjashme kohore në të cilën Nokoyawa Ransomware besohet të jetë shpërndarë në lidhje me Cobalt Strike.
Malware i përdorur në këtë sulm ka një natyrë të efektshme dhe efikase në kontrast me SystemBC origjinal. Zhvilluesit e tij kanë hequr funksionalitetin e tij, duke hequr shumicën e veçorive të gjetura në SystemBC, për të specializuar funksionin e tij si një profilues bazë të sistemit. Roli i tij përfshin nxjerrjen e informacionit dhe transmetimin e tij në një server të largët.
Si rezultat, DroxiDat-it i mungon aftësia për të shkarkuar dhe ekzekutuar ngarkesa shtesë malware. Megjithatë, ai mund të krijojë lidhje me dëgjuesit në distancë, duke lehtësuar transferimin e të dhënave dydrejtimëshe dhe është në gjendje të manipulojë regjistrin e sistemit të pajisjes së infektuar.
Identifikimi i aktorëve të kërcënimit përgjegjës për sulmet mbetet i panjohur. Megjithatë, indikacionet ekzistuese sugjerojnë fuqimisht përfshirjen e mundshme të grupeve ruse të hakerëve, veçanërisht FIN12 (i njohur edhe si Tempest i Fistakut). Ky grup është i njohur për vendosjen e SystemBC së bashku me Cobalt Strike Beacons si pjesë e strategjisë së tyre për ofrimin e ransomware.
