DroxiDat Малваре

Неидентификовани актер везан за превару повезан је са сајбер нападом на компанију за производњу електричне енергије која се налази у јужној Африци. Напад је користио нову претњу од малвера праћену као ДрокиДат. Потврђено је да је злонамерни софтвер новија итерација претходно откривеног СистемБЦ- а и вероватно је примењен као прелиминарни корак за очекивани напад рансомвера.

Примена ДрокиДат-а, бацкдоор-а опремљеног прокси могућностима, десила се истовремено са коришћењем Цобалт Стрике Беацонс у оквиру виталне инфраструктуре. Истраживачи су утврдили да се овај инцидент догодио крајем марта 2023. За то време, верује се да је операција напада била у својим раним фазама, фокусирајући се на профилисање система и успостављање прокси мреже која користи СОЦКС5 протокол како би се олакшала комуникација са командом -анд-Цонтрол (Ц2) инфраструктура.

Креатори ДрокиДат-а користили су СистемБЦ малвер као основу

СистемБЦ је робни малвер и алат за удаљену администрацију кодиран у Ц/Ц++. Претња се првобитно појавила још 2019. Његова примарна функција укључује успостављање СОЦКС5 проксија на компромитованим машинама. Ови проксији служе као канали за лажни саобраћај повезан са другим облицима малвера. Недавне итерације овог конкретног малвера имају проширене могућности, омогућавајући преузимање и извршавање додатних корисних података претњи.

Историјска примена СистемБЦ-а као канала за нападе рансомвера је добро документована. У децембру 2020. истраживачи су открили случајеве оператера рансомваре-а који прибегавају СистемБЦ-у као лако доступном бацкдоор-у заснованом на Тор-у за имплементацију Риук и Егрегор Рансомваре инфекција.

Привлачност СистемБЦ-а лежи у његовој ефикасности у таквим операцијама, омогућавајући истовремено ангажовање са више мета путем аутоматизованих процедура. Ово, заузврат, олакшава примену рансомваре-а путем изворних Виндовс алата, ако нападачи успеју да добију одговарајуће акредитиве.

ДрокиДат се може користити као претходник напада рансомвера

ДрокиДат-ове везе са применом рансомваре-а потичу од догађаја у вези са здравственом заштитом у који је ДрокиДат био умешан. Овај догађај се одиграо у сличном временском периоду у којем се верује да је Нокоиава Рансомваре дистрибуиран заједно са Цобалт Стрике-ом.

Малвер који се користи у овом нападу има модерну и ефикасну природу за разлику од оригиналног СистемБЦ-а. Његови програмери су умањили његову функционалност, одбацивши већину функција које се налазе у СистемБЦ-у, да би специјализовали његову функцију као основни системски профилатор. Његова улога укључује издвајање информација и њихово преношење на удаљени сервер.

Као резултат тога, ДрокиДат нема могућност преузимања и извршавања додатних корисних садржаја злонамерног софтвера. Међутим, може да успостави везе са удаљеним слушаоцима, олакшавајући двосмерни пренос података и способан је да манипулише системским регистром зараженог уређаја.

Идентификација актера претњи одговорних за нападе остаје непозната. Без обзира на то, постојеће индикације снажно указују на потенцијалну умешаност руских хакерских група, посебно ФИН12 (познатог и као Пистацхио Темпест). Ова група је позната по примени СистемБЦ-а заједно са Цобалт Стрике Беацонс-има као део њихове стратегије за испоруку рансомваре-а.