Шкідливе програмне забезпечення DroxiDat
Невідомого шахрайства пов’язують з кібератакою на компанію з виробництва електроенергії, розташовану на півдні Африки. Атака використовувала нову загрозу зловмисного програмного забезпечення, відстежувану як DroxiDat. Підтверджено, що зловмисне програмне забезпечення є новою ітерацією раніше виявленого SystemBC і, імовірно, розгортається як попередній крок для очікуваної атаки програм-вимагачів.
Розгортання DroxiDat, бекдора, оснащеного проксі-серверами, відбулося одночасно з використанням Cobalt Strike Beacons у життєво важливій інфраструктурі. Дослідники встановили, що цей інцидент стався наприкінці березня 2023 року. Вважається, що протягом цього часу операція атаки перебувала на початковій стадії, зосереджуючись на профілюванні системи та створенні проксі-мережі з використанням протоколу SOCKS5 для полегшення зв’язку з Командуванням -and-Control (C2) інфраструктура.
Творці DroxiDat взяли за основу шкідливу програму SystemBC
SystemBC — це зловмисне програмне забезпечення та інструмент віддаленого адміністрування, закодований на C/C++. Загроза вперше з’явилася ще в 2019 році. Її основна функція полягає в установці проксі-серверів SOCKS5 на скомпрометованих машинах. Ці проксі-сервери служать каналами для фіктивного трафіку, пов’язаного з іншими формами зловмисного програмного забезпечення. Останні ітерації цього конкретного зловмисного програмного забезпечення мають розширені можливості, дозволяючи отримувати та виконувати додаткові загрози.
Історичне розгортання SystemBC як каналу для атак програм-вимагачів було добре задокументовано. У грудні 2020 року дослідники оприлюднили випадки, коли оператори програм-вимагачів вдаються до SystemBC як легкодоступного бекдору на основі Tor для зараження Ryuk і Egregor Ransomware .
Привабливість SystemBC полягає в її ефективності в таких операціях, що дозволяє одночасно вражати кілька цілей за допомогою автоматизованих процедур. Це, у свою чергу, полегшує розгортання програм-вимагачів за допомогою власних інструментів Windows, якщо зловмисникам вдасться отримати відповідні облікові дані.
DroxiDat може використовуватися як попередник атак програм-вимагачів
Зв’язки DroxiDat із розгортанням програм-вимагачів виникли через подію, пов’язану з охороною здоров’я, до якої був причетний DroxiDat. Ця подія розгорталася протягом подібного періоду часу, коли, як вважають, програмне забезпечення-вимагач Nokoyawa було розповсюджено разом із Cobalt Strike.
Зловмисне програмне забезпечення, яке використовується в цьому нападі, має оптимізовану та ефективну природу на відміну від оригінального SystemBC. Його розробники скоротили його функціональні можливості, позбувшись більшості функцій SystemBC, щоб спеціалізувати його функцію як основного профайлера системи. Його роль включає вилучення інформації та передачу її на віддалений сервер.
Як наслідок, DroxiDat не має можливості завантажувати та запускати додаткові шкідливі програми. Однак він може встановлювати зв’язки з віддаленими слухачами, сприяючи двонаправленій передачі даних, і здатний маніпулювати системним реєстром зараженого пристрою.
Ідентифікація осіб, відповідальних за атаки, залишається невідомою. Тим не менш, наявні ознаки переконливо свідчать про потенційну участь російських хакерських груп, зокрема FIN12 (також відомої як Pistachio Tempest). Ця група відома розгортанням SystemBC разом із Cobalt Strike Beacons у рамках своєї стратегії розповсюдження програм-вимагачів.
