DroxiDat Kötü Amaçlı Yazılım
Tanımlanamayan dolandırıcılıkla ilgili bir aktör, Güney Afrika'da bulunan bir enerji üretim şirketine yapılan siber saldırıyla ilişkilendirildi. Saldırı, DroxiDat olarak izlenen yeni bir kötü amaçlı yazılım tehdidi kullandı. Kötü amaçlı yazılımın daha önce keşfedilen SystemBC'nin daha yeni bir yinelemesi olduğu onaylandı ve muhtemelen beklenen bir fidye yazılımı saldırısı için bir ön adım olarak konuşlandırıldı.
Proxy yetenekleriyle donatılmış bir arka kapı olan DroxiDat'ın konuşlandırılması, hayati altyapıda Cobalt Strike Beacon'ların kullanılmasıyla eş zamanlı olarak gerçekleşti. Araştırmacılar, bu olayın Mart 2023'ün sonlarında meydana geldiğini belirlediler. Bu süre zarfında, saldırı operasyonunun ilk aşamalarında olduğuna inanılıyor, sistem profili çıkarmaya ve Komuta ile iletişimi kolaylaştırmak için SOCKS5 protokolünü kullanan bir proxy ağı kurmaya odaklanıyor. -ve-Kontrol (C2) altyapısı.
DroxiDat'ın Yaratıcıları SystemBC Kötü Amaçlı Yazılımını Temel Olarak Kullandı
SystemBC, C/C++ ile kodlanmış ticari bir kötü amaçlı yazılım ve uzaktan yönetim aracıdır. Tehdit ilk olarak 2019'da ortaya çıktı. Birincil işlevi, güvenliği ihlal edilmiş makinelerde SOCKS5 proxy'leri oluşturmaktır. Bu proxy'ler, diğer kötü amaçlı yazılım biçimleriyle bağlantılı sahte trafik için kanal görevi görür. Bu belirli kötü amaçlı yazılımın son yinelemeleri, ek tehdit yüklerinin alınmasına ve yürütülmesine olanak tanıyan genişletilmiş yeteneklere sahiptir.
Fidye yazılımı saldırıları için bir kanal olarak SystemBC'nin tarihsel konuşlandırılması iyi belgelenmiştir. Aralık 2020'de araştırmacılar, Ryuk ve Egregor Ransomware bulaşmalarını uygulamak için hazır Tor tabanlı bir arka kapı olarak SystemBC'ye başvuran fidye yazılımı operatörlerinin örneklerini açıkladı.
SystemBC'nin cazibesi, bu tür operasyonlardaki etkinliğinde yatmaktadır ve otomatik prosedürler yoluyla birden çok hedefle eşzamanlı angajmana izin vermektedir. Bu da saldırganların uygun kimlik bilgilerini ele geçirmeyi başarması durumunda yerel Windows araçları aracılığıyla fidye yazılımlarının dağıtımını kolaylaştırır.
DroxiDat, Fidye Yazılım Saldırılarının Öncüsü Olarak Kullanılabilir
DroxiDat'ın fidye yazılımı dağıtımına olan bağlantıları, DroxiDat'ın dahil olduğu sağlık hizmetleriyle ilgili bir olaydan kaynaklanmaktadır. Bu olay, Nokoyawa Ransomware'in Cobalt Strike ile birlikte dağıtıldığına inanılan benzer bir zaman diliminde ortaya çıktı.
Bu saldırıda kullanılan kötü amaçlı yazılım, orijinal SystemBC'nin aksine modern ve verimli bir yapıya sahiptir. Geliştiricileri, temel bir sistem profil oluşturucu olarak işlevini özelleştirmek için SystemBC'de bulunan özelliklerin çoğunu atarak işlevselliğini azalttı. Rolü, bilgileri ayıklamayı ve uzak bir sunucuya iletmeyi içerir.
Sonuç olarak DroxiDat, ek kötü amaçlı yazılım yüklerini indirme ve yürütme yeteneğinden yoksundur. Ancak, uzak dinleyicilerle bağlantılar kurarak çift yönlü veri aktarımını kolaylaştırabilir ve virüslü cihazın sistem kayıt defterini manipüle edebilir.
Saldırılardan sorumlu olan tehdit aktörlerinin kim olduğu bilinmiyor. Bununla birlikte, mevcut göstergeler, Rus bilgisayar korsanı gruplarının, özellikle FIN12'nin (Pistachio Tempest olarak da bilinir) potansiyel katılımını güçlü bir şekilde göstermektedir. Bu grup, fidye yazılımı dağıtma stratejilerinin bir parçası olarak Cobalt Strike Beacons ile birlikte SystemBC'yi dağıtmasıyla tanınır.
