DroxiDat మాల్వేర్

దక్షిణాఫ్రికాలో ఉన్న విద్యుత్ ఉత్పాదక సంస్థపై సైబర్ దాడితో గుర్తించబడని మోసానికి సంబంధించిన నటుడు సంబంధం కలిగి ఉన్నాడు. దాడి డ్రోక్సీడాట్‌గా ట్రాక్ చేయబడిన నవల మాల్వేర్ ముప్పును ఉపయోగించింది. మాల్వేర్ మునుపు కనుగొనబడిన SystemBC యొక్క కొత్త పునరుక్తిగా నిర్ధారించబడింది మరియు ఊహించిన ransomware దాడికి ప్రాథమిక దశగా బహుశా అమలు చేయబడుతుంది.

ప్రాక్సీ సామర్థ్యాలతో కూడిన బ్యాక్‌డోర్ అయిన DroxiDat యొక్క విస్తరణ, కీలకమైన ఇన్‌ఫ్రాస్ట్రక్చర్‌లో కోబాల్ట్ స్ట్రైక్ బీకాన్‌ల వినియోగంతో ఏకకాలంలో జరిగింది. ఈ సంఘటన మార్చి 2023 చివరిలో జరిగిందని పరిశోధకులు నిర్ధారించారు. ఈ సమయంలో, దాడి ఆపరేషన్ దాని ప్రారంభ దశల్లో ఉందని నమ్ముతారు, సిస్టమ్ ప్రొఫైలింగ్ మరియు కమాండ్‌తో కమ్యూనికేషన్‌ను సులభతరం చేయడానికి SOCKS5 ప్రోటోకాల్‌ని ఉపయోగించి ప్రాక్సీ నెట్‌వర్క్ ఏర్పాటుపై దృష్టి సారించారు. -మరియు-నియంత్రణ (C2) అవస్థాపన.

DroxiDat సృష్టికర్తలు SystemBC మాల్వేర్‌ని ప్రాతిపదికగా ఉపయోగించారు

SystemBC అనేది C/C++లో కోడ్ చేయబడిన కమోడిటీ మాల్వేర్ మరియు రిమోట్ అడ్మినిస్ట్రేటివ్ టూల్. ముప్పు మొదట 2019లో తిరిగి వచ్చింది. దీని ప్రాథమిక విధి రాజీపడిన మెషీన్‌లపై SOCKS5 ప్రాక్సీలను ఏర్పాటు చేయడం. ఈ ప్రాక్సీలు ఇతర రకాల మాల్‌వేర్‌లకు లింక్ చేయబడిన బోగస్ ట్రాఫిక్‌కు వాహకాలుగా పనిచేస్తాయి. ఈ ప్రత్యేక మాల్వేర్ యొక్క ఇటీవలి పునరావృత్తులు సామర్థ్యాలను విస్తరించాయి, అదనపు థ్రెట్ పేలోడ్‌లను తిరిగి పొందడం మరియు అమలు చేయడం ప్రారంభించడం.

ransomware దాడులకు ఒక మార్గంగా SystemBC యొక్క చారిత్రక విస్తరణ చక్కగా నమోదు చేయబడింది. డిసెంబర్ 2020లో, Ryuk మరియు Egregor Ransomware ఇన్‌ఫెక్షన్‌లను అమలు చేయడం కోసం ransomware ఆపరేటర్లు తక్షణమే అందుబాటులో ఉండే టోర్ ఆధారిత బ్యాక్‌డోర్‌గా SystemBCని ఆశ్రయించిన సందర్భాలను పరిశోధకులు ఆవిష్కరించారు.

SystemBC యొక్క అప్పీల్ అటువంటి కార్యకలాపాలలో దాని ప్రభావంలో ఉంటుంది, స్వయంచాలక విధానాల ద్వారా బహుళ లక్ష్యాలతో ఏకకాలంలో నిమగ్నమవ్వడానికి అనుమతిస్తుంది. దాడి చేసేవారు తగిన ఆధారాలను పొందగలిగితే, ఇది స్థానిక విండోస్ సాధనాల ద్వారా ransomware యొక్క విస్తరణను సులభతరం చేస్తుంది.

DroxiDatని Ransomware దాడులకు పూర్వగామిగా ఉపయోగించవచ్చు

ransomware విస్తరణకు DroxiDat యొక్క కనెక్షన్‌లు DroxiDat ప్రమేయం ఉన్న ఆరోగ్య సంరక్షణ-సంబంధిత సంఘటన నుండి ఉద్భవించాయి. నోకోయావా రాన్సమ్‌వేర్ కోబాల్ట్ స్ట్రైక్‌తో కలిసి పంపిణీ చేయబడిందని విశ్వసించబడే ఇలాంటి సమయ వ్యవధిలో ఈ సంఘటన జరిగింది.

ఈ దాడిలో ఉపయోగించిన మాల్వేర్ అసలు SystemBCకి భిన్నంగా క్రమబద్ధీకరించబడిన మరియు సమర్థవంతమైన స్వభావాన్ని కలిగి ఉంటుంది. దీని డెవలపర్‌లు ప్రాథమిక సిస్టమ్ ప్రొఫైలర్‌గా దాని పనితీరును ప్రత్యేకీకరించడానికి, SystemBCలో కనిపించే చాలా ఫీచర్‌లను తొలగించి, దాని కార్యాచరణను తగ్గించారు. దీని పాత్ర సమాచారాన్ని సంగ్రహించడం మరియు రిమోట్ సర్వర్‌కు ప్రసారం చేయడం.

ఫలితంగా, DroxiDat అదనపు మాల్వేర్ పేలోడ్‌లను డౌన్‌లోడ్ చేసి, అమలు చేసే సామర్థ్యాన్ని కలిగి ఉండదు. అయినప్పటికీ, ఇది రిమోట్ శ్రోతలతో లింక్‌లను ఏర్పాటు చేయగలదు, ద్విదిశాత్మక డేటా బదిలీని సులభతరం చేస్తుంది మరియు సోకిన పరికరం యొక్క సిస్టమ్ రిజిస్ట్రీని మార్చగల సామర్థ్యాన్ని కలిగి ఉంటుంది.

దాడులకు పాల్పడిన బెదిరింపు నటుల గుర్తింపు ఇంకా తెలియలేదు. అయినప్పటికీ, ఇప్పటికే ఉన్న సూచనలు రష్యన్ హ్యాకర్ గ్రూపుల సంభావ్య ప్రమేయాన్ని గట్టిగా సూచిస్తున్నాయి, ముఖ్యంగా FIN12 (దీనిని పిస్తా టెంపెస్ట్ అని కూడా పిలుస్తారు). ఈ గుంపు ransomware డెలివరీ కోసం వారి వ్యూహంలో భాగంగా కోబాల్ట్ స్ట్రైక్ బీకాన్‌లతో పాటు SystemBCని అమలు చేయడానికి ప్రసిద్ధి చెందింది.