DroxiDat Malware

En oidentifierad bedrägerierelaterad aktör har förknippats med en cyberattack mot ett kraftproduktionsföretag i södra Afrika. Attacken använde ett nytt skadligt hot som spårades som DroxiDat. Skadlig programvara är bekräftad att vara en nyare iteration av tidigare upptäckt SystemBC och är förmodligen utplacerad som ett preliminärt steg för en förväntad ransomware-attack.

Utplaceringen av DroxiDat, en bakdörr utrustad med proxyfunktioner, skedde samtidigt med användningen av Cobalt Strike Beacons inom den vitala infrastrukturen. Forskare har fastställt att denna incident inträffade i slutet av mars 2023. Under denna tid tror man att attackoperationen var i sina tidiga faser, med fokus på systemprofilering och etablering av ett proxynätverk som använder SOCKS5-protokollet för att underlätta kommunikationen med kommandot -and-Control (C2) infrastruktur.

Skaparna av DroxiDat använde SystemBC Malware som grund

SystemBC är ett skadligt program och ett fjärradministrativt verktyg kodat i C/C++. Hotet dök ursprungligen upp redan 2019. Dess primära funktion är att etablera SOCKS5-proxyer på komprometterade maskiner. Dessa proxyservrar fungerar som kanaler för falsk trafik kopplad till andra former av skadlig programvara. De senaste iterationerna av just denna skadliga programvara har utökade möjligheter, vilket möjliggör hämtning och exekvering av ytterligare hotnyttolaster.

Den historiska utplaceringen av SystemBC som en kanal för ransomware-attacker har varit väldokumenterad. I december 2020 avslöjade forskare fall av ransomware-operatörer som tillgriper SystemBC som en lättillgänglig Tor-baserad bakdörr för att implementera Ryuk och Egregor Ransomware- infektioner.

SystemBC:s överklagande ligger i dess effektivitet inom sådana operationer, vilket möjliggör samtidig engagemang med flera mål genom automatiserade procedurer. Detta i sin tur underlättar distributionen av ransomware via inbyggda Windows-verktyg, om angriparna lyckas få lämpliga referenser.

DroxiDat kan användas som en föregångare till ransomware-attacker

DroxiDats kopplingar till utplacering av ransomware härrör från en sjukvårdsrelaterad händelse där DroxiDat var inblandad. Denna händelse utspelade sig under en liknande tidsram där Nokoyawa Ransomware tros ha distribuerats i samband med Cobalt Strike.

Den skadliga programvaran som används i denna attack har en strömlinjeformad och effektiv karaktär i motsats till den ursprungliga SystemBC. Dess utvecklare har tagit bort dess funktionalitet och avskaffat de flesta funktioner som finns i SystemBC, för att specialisera dess funktion som en grundläggande systemprofilerare. Dess roll innebär att extrahera information och överföra den till en fjärrserver.

Som ett resultat saknar DroxiDat förmågan att ladda ner och köra ytterligare skadlig programvara. Den kan dock upprätta länkar med fjärrlyssnare, vilket underlättar dubbelriktad dataöverföring och kan manipulera systemregistret för den infekterade enheten.

Identifieringen av de hotaktörer som är ansvariga för attackerna är fortfarande okänd. Icke desto mindre tyder befintliga indikationer starkt på potentiell inblandning av ryska hackergrupper, särskilt FIN12 (även känd som Pistachio Tempest). Denna grupp är känd för att distribuera SystemBC tillsammans med Cobalt Strike Beacons som en del av deras strategi för att leverera ransomware.