Phần mềm độc hại DroxiDat
Một diễn viên liên quan đến gian lận không xác định đã được liên kết với một cuộc tấn công mạng vào một công ty sản xuất điện ở miền nam châu Phi. Cuộc tấn công sử dụng một mối đe dọa phần mềm độc hại mới được theo dõi là DroxiDat. Phần mềm độc hại được xác nhận là một phiên bản mới hơn của SystemBC đã phát hiện trước đó và có lẽ được triển khai như một bước sơ bộ cho một cuộc tấn công ransomware dự kiến.
Việc triển khai DroxiDat, một cửa hậu được trang bị các khả năng proxy, diễn ra đồng thời với việc sử dụng Cobalt Strike Beacons trong cơ sở hạ tầng quan trọng. Các nhà nghiên cứu đã xác định rằng sự cố này đã xảy ra vào cuối tháng 3 năm 2023. Trong thời gian này, người ta tin rằng hoạt động tấn công đang ở giai đoạn đầu, tập trung vào việc lập hồ sơ hệ thống và thiết lập mạng proxy sử dụng giao thức SOCKS5 để tạo điều kiện liên lạc với Bộ chỉ huy cơ sở hạ tầng -and-Control (C2).
Những người tạo ra DroxiDat đã sử dụng phần mềm độc hại SystemBC làm cơ sở
SystemBC là phần mềm độc hại hàng hóa và công cụ quản trị từ xa được mã hóa bằng C/C++. Mối đe dọa ban đầu xuất hiện trở lại vào năm 2019. Chức năng chính của nó liên quan đến việc thiết lập proxy SOCKS5 trên các máy bị xâm nhập. Các proxy này đóng vai trò là đường dẫn cho lưu lượng không có thật được liên kết với các dạng phần mềm độc hại khác. Các lần lặp lại gần đây của phần mềm độc hại cụ thể này đã mở rộng các khả năng, cho phép truy xuất và thực thi các tải trọng đe dọa bổ sung.
Lịch sử triển khai SystemBC như một đường dẫn cho các cuộc tấn công bằng mã độc tống tiền đã được ghi chép đầy đủ. Vào tháng 12 năm 2020, các nhà nghiên cứu đã tiết lộ các trường hợp kẻ vận hành ransomware sử dụng SystemBC như một cửa hậu dựa trên Tor có sẵn để thực hiện lây nhiễm Ryuk và Egregor Ransomware .
Sự hấp dẫn của SystemBC nằm ở tính hiệu quả của nó trong các hoạt động như vậy, cho phép tham gia đồng thời với nhiều mục tiêu thông qua các quy trình tự động. Đổi lại, điều này tạo điều kiện thuận lợi cho việc triển khai phần mềm tống tiền thông qua các công cụ gốc của Windows, nếu những kẻ tấn công quản lý để có được thông tin xác thực phù hợp.
DroxiDat có thể được sử dụng làm tiền thân của các cuộc tấn công ransomware
Mối liên hệ của DroxiDat với việc triển khai mã độc tống tiền bắt nguồn từ một sự cố liên quan đến chăm sóc sức khỏe mà DroxiDat có liên quan. Sự kiện này diễn ra trong một khung thời gian tương tự, trong đó Nokoyawa Ransomware được cho là đã được phân phối cùng với Cobalt Strike.
Phần mềm độc hại được sử dụng trong cuộc tấn công này có bản chất hợp lý và hiệu quả trái ngược với SystemBC ban đầu. Các nhà phát triển của nó đã loại bỏ chức năng của nó, loại bỏ hầu hết các tính năng có trong SystemBC, để chuyên biệt hóa chức năng của nó như một trình cấu hình hệ thống cơ bản. Vai trò của nó liên quan đến việc trích xuất thông tin và truyền nó đến một máy chủ từ xa.
Do đó, DroxiDat thiếu khả năng tải xuống và thực thi các tải trọng phần mềm độc hại bổ sung. Tuy nhiên, nó có thể thiết lập liên kết với các thiết bị nghe từ xa, tạo điều kiện truyền dữ liệu hai chiều và có khả năng thao túng sổ đăng ký hệ thống của thiết bị bị nhiễm.
Việc xác định các tác nhân đe dọa chịu trách nhiệm cho các cuộc tấn công vẫn chưa được biết. Tuy nhiên, các dấu hiệu hiện tại cho thấy rõ ràng có khả năng có sự tham gia của các nhóm tin tặc Nga, đặc biệt là FIN12 (còn được gọi là Pistachio Tempest). Nhóm này được biết đến với việc triển khai SystemBC cùng với Cobalt Strike Beacons như một phần trong chiến lược phân phối ransomware của họ.
