DroxiDat 惡意軟件

一名身份不明的欺詐相關參與者與對南部非洲一家發電公司的網絡攻擊有關。該攻擊利用了一種名為 DroxiDat 的新型惡意軟件威脅。該惡意軟件被確認是先前發現的SystemBC的更新版本，並且可能是作為預期勒索軟件攻擊的初步步驟而部署的。

DroxiDat（一個配備代理功能的後門）的部署與重要基礎設施中Cobalt Strike Beacons 的使用同時發生。研究人員確定該事件發生於 2023 年 3 月下旬。在此期間，據信攻擊行動處於早期階段，重點是系統分析和利用 SOCKS5 協議建立代理網絡以促進與司令部的通信控制（C2）基礎設施。

DroxiDat 的創建者以 SystemBC 惡意軟件為基礎

SystemBC 是一種用 C/C++ 編碼的商品惡意軟件和遠程管理工具。該威脅最初於 2019 年出現。其主要功能包括在受感染的計算機上建立 SOCKS5 代理。這些代理充當與其他形式的惡意軟件相關的虛假流量的渠道。這種特定惡意軟件的最新迭代擴展了功能，能夠檢索和執行其他威脅有效負載。

SystemBC 作為勒索軟件攻擊渠道的歷史部署已有詳細記錄。 2020 年 12 月，研究人員披露了勒索軟件運營商利用 SystemBC 作為現成的基於 Tor 的後門來實施Ryuk和Egregor 勒索軟件感染的實例。

SystemBC 的吸引力在於其在此類行動中的有效性，允許通過自動化程序同時攻擊多個目標。如果攻擊者設法獲得適當的憑據，這反過來又有助於通過本機 Windows 工具部署勒索軟件。

DroxiDat 可能被用作勒索軟件攻擊的前兆

DroxiDat 與勒索軟件部署的聯繫源於 DroxiDat 參與的一次醫療保健相關事件。該事件發生在相似的時間範圍內，據信Nokoyawa 勒索軟件是與 Cobalt Strike 一起傳播的。

與原始 SystemBC 相比，此次攻擊中使用的惡意軟件具有精簡且高效的特性。它的開發人員已經剝離了它的功能，放棄了 SystemBC 中的大部分功能，以將其功能專門化為基本系統分析器。它的作用包括提取信息並將其傳輸到遠程服務器。

因此，DroxiDat 缺乏下載和執行額外惡意軟件有效負載的能力。但是，它可以與遠程偵聽器建立鏈接，促進雙向數據傳輸，並且能夠操縱受感染設備的系統註冊表。

負責這些攻擊的威脅行為者的身份仍然未知。儘管如此，現有跡象強烈表明俄羅斯黑客組織可能參與其中，特別是 FIN12（也稱為 Pistachio Tempest）。該組織以將 SystemBC 與 Cobalt Strike Beacons 一起部署作為其勒索軟件傳播策略的一部分而聞名。