DroxiDat มัลแวร์

ผู้กระทำที่เกี่ยวข้องกับการฉ้อโกงที่ไม่ปรากฏชื่อมีความเกี่ยวข้องกับการโจมตีทางไซเบอร์ในบริษัทผลิตไฟฟ้าที่ตั้งอยู่ในภาคใต้ของแอฟริกา การโจมตีใช้ภัยคุกคามมัลแวร์ใหม่ที่ติดตามในชื่อ DroxiDat มัลแวร์ได้รับการยืนยันว่าเป็นการทำซ้ำที่ใหม่กว่าของ SystemBC ที่ค้นพบก่อนหน้านี้ และสันนิษฐานว่าน่าจะใช้เป็นขั้นตอนเบื้องต้นสำหรับการโจมตีแรนซัมแวร์ที่คาดการณ์ไว้

การใช้งาน DroxiDat ซึ่งเป็นประตูหลังที่มีความสามารถพร็อกซีเกิดขึ้นพร้อมกับการใช้ Cobalt Strike Beacons ภายในโครงสร้างพื้นฐานที่สำคัญ นักวิจัยระบุว่าเหตุการณ์นี้เกิดขึ้นในช่วงปลายเดือนมีนาคม พ.ศ. 2566 ในช่วงเวลานี้ เชื่อว่าการดำเนินการโจมตียังอยู่ในช่วงเริ่มต้น โดยมุ่งเน้นไปที่การทำโปรไฟล์ระบบและการจัดตั้งเครือข่ายพร็อกซีโดยใช้โปรโตคอล SOCKS5 เพื่ออำนวยความสะดวกในการสื่อสารกับคำสั่ง โครงสร้างพื้นฐาน -and-Control (C2)

ผู้สร้าง DroxiDat ใช้มัลแวร์ SystemBC เป็นพื้นฐาน

SystemBC เป็นมัลแวร์สินค้าและเครื่องมือการดูแลระบบระยะไกลที่เข้ารหัสใน C/C++ ภัยคุกคามเริ่มปรากฏขึ้นในปี 2019 หน้าที่หลักของมันเกี่ยวข้องกับการสร้างพร็อกซี SOCKS5 บนเครื่องที่ถูกบุกรุก พร็อกซีเหล่านี้ทำหน้าที่เป็นช่องทางสำหรับการรับส่งข้อมูลปลอมที่เชื่อมโยงกับมัลแวร์รูปแบบอื่นๆ การทำซ้ำล่าสุดของมัลแวร์เฉพาะนี้ได้ขยายขีดความสามารถ ทำให้สามารถเรียกค้นและดำเนินการเพย์โหลดภัยคุกคามเพิ่มเติมได้

ประวัติการใช้งาน SystemBC เป็นช่องทางสำหรับการโจมตีแรนซัมแวร์ได้รับการจัดทำเป็นเอกสารไว้อย่างดี ในเดือนธันวาคม พ.ศ. 2563 นักวิจัยได้เปิดเผยตัวอย่างของผู้ให้บริการแรนซัมแวร์ที่ใช้ SystemBC เป็นแบ็คดอร์ที่ใช้ทอร์ซึ่งพร้อมใช้งานสำหรับการติดไวรัส Ryuk และ Egregor Ransomware

การอุทธรณ์ของ SystemBC อยู่ที่ประสิทธิภาพภายในการดำเนินการดังกล่าว ซึ่งช่วยให้สามารถมีส่วนร่วมกับเป้าหมายหลายเป้าหมายพร้อมกันผ่านขั้นตอนอัตโนมัติ ในทางกลับกัน การทำเช่นนี้จะช่วยอำนวยความสะดวกในการติดตั้งแรนซัมแวร์ผ่านเครื่องมือดั้งเดิมของ Windows หากผู้โจมตีจัดการเพื่อรับข้อมูลประจำตัวที่เหมาะสม

DroxiDat อาจถูกใช้เป็นตัวตั้งต้นของการโจมตี Ransomware

การเชื่อมต่อของ DroxiDat กับการติดตั้งแรนซัมแวร์เกิดขึ้นจากเหตุการณ์ที่เกี่ยวข้องกับการดูแลสุขภาพซึ่ง DroxiDat มีส่วนเกี่ยวข้อง เหตุการณ์นี้เกิดขึ้นในช่วงเวลาใกล้เคียงกัน ซึ่งเชื่อกันว่า Nokoawa Ransomware เผยแพร่ร่วมกับ Cobalt Strike

มัลแวร์ที่ใช้ในการโจมตีนี้มีลักษณะที่คล่องตัวและมีประสิทธิภาพซึ่งตรงกันข้ามกับ SystemBC ดั้งเดิม นักพัฒนาซอฟต์แวร์ได้ถอดฟังก์ชันการทำงานออก ปลดคุณลักษณะส่วนใหญ่ที่พบใน SystemBC เพื่อให้เชี่ยวชาญในการทำงานในฐานะผู้สร้างโปรไฟล์ระบบพื้นฐาน บทบาทของมันเกี่ยวข้องกับการแยกข้อมูลและส่งไปยังเซิร์ฟเวอร์ระยะไกล

เป็นผลให้ DroxiDat ขาดความสามารถในการดาวน์โหลดและดำเนินการเพย์โหลดมัลแวร์เพิ่มเติม อย่างไรก็ตาม มันสามารถสร้างลิงค์กับผู้ฟังระยะไกล อำนวยความสะดวกในการถ่ายโอนข้อมูลแบบสองทิศทาง และสามารถจัดการรีจิสทรีของระบบของอุปกรณ์ที่ติดไวรัสได้

การระบุตัวผู้คุกคามที่รับผิดชอบการโจมตียังไม่ทราบ อย่างไรก็ตาม ข้อบ่งชี้ที่มีอยู่บ่งชี้ให้เห็นอย่างชัดเจนถึงการมีส่วนร่วมของกลุ่มแฮ็กเกอร์ชาวรัสเซีย โดยเฉพาะอย่างยิ่ง FIN12 (หรือที่เรียกว่า Pistachio Tempest) กลุ่มนี้เป็นที่รู้จักในการปรับใช้ SystemBC ควบคู่ไปกับ Cobalt Strike Beacons ซึ่งเป็นส่วนหนึ่งของกลยุทธ์ในการส่งมอบแรนซัมแวร์