DroxiDat 恶意软件

一名身份不明的欺诈相关参与者与对南部非洲一家发电公司的网络攻击有关。该攻击利用了一种名为 DroxiDat 的新型恶意软件威胁。该恶意软件被确认是先前发现的SystemBC的更新版本，并且可能是作为预期勒索软件攻击的初步步骤而部署的。

DroxiDat（一个配备代理功能的后门）的部署与重要基础设施中Cobalt Strike Beacons 的使用同时进行。研究人员确定该事件发生于 2023 年 3 月下旬。在此期间，据信攻击行动处于早期阶段，重点是系统分析和利用 SOCKS5 协议建立代理网络以促进与司令部的通信控制（C2）基础设施。

DroxiDat 的创建者以 SystemBC 恶意软件为基础

SystemBC 是一种用 C/C++ 编码的商品恶意软件和远程管理工具。该威胁最初于 2019 年出现。其主要功能包括在受感染的计算机上建立 SOCKS5 代理。这些代理充当与其他形式的恶意软件相关的虚假流量的渠道。这种特定恶意软件的最新迭代扩展了功能，能够检索和执行其他威胁有效负载。

SystemBC 作为勒索软件攻击渠道的历史部署已有详细记录。 2020 年 12 月，研究人员披露了勒索软件运营商利用 SystemBC 作为现成的基于 Tor 的后门来实施Ryuk和Egregor 勒索软件感染的实例。

SystemBC 的吸引力在于其在此类行动中的有效性，允许通过自动化程序同时攻击多个目标。如果攻击者设法获得适当的凭据，这反过来又有助于通过本机 Windows 工具部署勒索软件。

DroxiDat 可能被用作勒索软件攻击的前兆

DroxiDat 与勒索软件部署的联系源于 DroxiDat 参与的一次医疗保健相关事件。该事件发生在相似的时间范围内，据信Nokoyawa 勒索软件是与 Cobalt Strike 一起传播的。

与原始 SystemBC 相比，此次攻击中使用的恶意软件具有精简且高效的特性。它的开发人员已经剥离了它的功能，放弃了 SystemBC 中的大部分功能，以将其功能专门化为基本系统分析器。它的作用包括提取信息并将其传输到远程服务器。

因此，DroxiDat 缺乏下载和执行额外恶意软件有效负载的能力。但是，它可以与远程侦听器建立链接，促进双向数据传输，并且能够操纵受感染设备的系统注册表。

负责这些攻击的威胁行为者的身份仍然未知。尽管如此，现有迹象强烈表明俄罗斯黑客组织可能参与其中，特别是 FIN12（也称为 Pistachio Tempest）。该组织以将 SystemBC 与 Cobalt Strike Beacons 一起部署作为其勒索软件传播策略的一部分而闻名。