DroxiDat Malware
Ang isang hindi kilalang aktor na may kaugnayan sa panloloko ay iniugnay sa isang cyber attack sa isang power generation company na matatagpuan sa southern Africa. Ang pag-atake ay gumamit ng isang nobelang banta ng malware na sinusubaybayan bilang DroxiDat. Ang malware ay nakumpirma na isang mas bagong pag-ulit ng dati nang natuklasang SystemBC at maaaring inilagay bilang isang paunang hakbang para sa isang inaasahang pag-atake ng ransomware.
Ang deployment ng DroxiDat, isang backdoor na nilagyan ng mga kakayahan ng proxy, ay naganap kasabay ng paggamit ng Cobalt Strike Beacons sa loob ng mahahalagang imprastraktura. Natukoy ng mga mananaliksik na ang insidenteng ito ay nangyari noong huling bahagi ng Marso 2023. Sa panahong ito, pinaniniwalaan na ang operasyon ng pag-atake ay nasa maagang yugto nito, na nakatuon sa system profiling at ang pagtatatag ng isang proxy network na gumagamit ng SOCKS5 protocol upang mapadali ang komunikasyon sa Command -and-Control (C2) imprastraktura.
Ginamit ng Mga Tagalikha ng DroxiDat ang SystemBC Malware bilang Batayan
Ang SystemBC ay isang commodity malware at remote administrative tool na naka-code sa C/C++. Ang banta ay unang lumabas noong 2019. Kasama sa pangunahing tungkulin nito ang pagtatatag ng mga proxy ng SOCKS5 sa mga nakompromisong makina. Ang mga proxy na ito ay nagsisilbing mga conduit para sa huwad na trapiko na naka-link sa iba pang mga anyo ng malware. Ang mga kamakailang pag-ulit ng partikular na malware na ito ay nagpalawak ng mga kakayahan, na nagbibigay-daan sa pagkuha at pagpapatupad ng karagdagang mga payload ng pagbabanta.
Ang makasaysayang pag-deploy ng SystemBC bilang isang conduit para sa mga pag-atake ng ransomware ay mahusay na dokumentado. Noong Disyembre 2020, inihayag ng mga mananaliksik ang mga pagkakataon ng mga operator ng ransomware na gumagamit ng SystemBC bilang isang madaling magagamit na backdoor na nakabatay sa Tor para sa pagpapatupad ng mga impeksyon sa Ryuk at Egregor Ransomware .
Ang apela ng SystemBC ay nakasalalay sa pagiging epektibo nito sa loob ng mga naturang operasyon, na nagbibigay-daan para sa sabay-sabay na pakikipag-ugnayan sa maraming mga target sa pamamagitan ng mga awtomatikong pamamaraan. Ito, sa turn, ay nagpapadali sa pag-deploy ng ransomware sa pamamagitan ng mga native na tool sa Windows, kung ang mga umaatake ay namamahala upang makakuha ng naaangkop na mga kredensyal.
Maaaring Gamitin ang DroxiDat bilang Precursor ng Ransomware Attacks
Ang mga koneksyon ng DroxiDat sa pag-deploy ng ransomware ay nagmula sa isang pangyayaring nauugnay sa pangangalagang pangkalusugan kung saan kasangkot si DroxiDat. Ang kaganapang ito ay naganap sa isang katulad na takdang panahon kung saan ang Nokoyawa Ransomware ay pinaniniwalaang ipinamahagi kasabay ng Cobalt Strike.
Ang malware na ginamit sa pag-atake na ito ay nagtataglay ng isang streamlined at mahusay na kalikasan sa kaibahan sa orihinal na SystemBC. Inalis ng mga developer nito ang functionality nito, na ibinabagsak ang karamihan sa mga feature na makikita sa SystemBC, upang gawing dalubhasa ang function nito bilang pangunahing system profiler. Ang papel nito ay nagsasangkot ng pagkuha ng impormasyon at pagpapadala nito sa isang malayong server.
Bilang resulta, ang DroxiDat ay walang kakayahang mag-download at magsagawa ng mga karagdagang malware payload. Gayunpaman, maaari itong magtatag ng mga link sa mga malalayong tagapakinig, na nagpapadali sa paglilipat ng data ng bidirectional, at may kakayahang manipulahin ang system registry ng nahawaang device.
Ang pagkakakilanlan ng mga aktor ng pagbabanta na responsable para sa mga pag-atake ay nananatiling hindi alam. Gayunpaman, ang mga umiiral na indikasyon ay malakas na nagmumungkahi ng potensyal na paglahok ng mga grupo ng hacker ng Russia, partikular ang FIN12 (kilala rin bilang Pistachio Tempest). Ang grupong ito ay kilala sa pag-deploy ng SystemBC kasama ng Cobalt Strike Beacons bilang bahagi ng kanilang diskarte sa paghahatid ng ransomware.
