بدافزار DroxiDat
یک بازیگر ناشناس مرتبط با کلاهبرداری با یک حمله سایبری به یک شرکت تولید برق واقع در جنوب آفریقا مرتبط است. در این حمله از یک تهدید بدافزار جدید استفاده شده است که تحت عنوان DroxiDat ردیابی می شود. تأیید شده است که این بدافزار تکرار جدیدتری از SystemBC است که قبلاً کشف شده بود و احتمالاً به عنوان یک مرحله مقدماتی برای یک حمله باجافزار پیشبینیشده مستقر شده است.
استقرار DroxiDat، یک درب پشتی مجهز به قابلیت های پراکسی، همزمان با استفاده از Cobalt Strike Beacons در زیرساخت حیاتی رخ داد. محققان تشخیص دادهاند که این حادثه در اواخر مارس 2023 رخ داده است. در این مدت، اعتقاد بر این است که عملیات حمله در مراحل اولیه خود بوده است، با تمرکز بر پروفایل سیستم و ایجاد یک شبکه پراکسی با استفاده از پروتکل SOCKS5 برای تسهیل ارتباط با فرماندهی. زیرساخت -and-Control (C2).
سازندگان DroxiDat از بدافزار SystemBC به عنوان پایه استفاده کردند
SystemBC یک بدافزار کالایی و ابزار مدیریتی راه دور است که با C/C++ کدگذاری شده است. این تهدید ابتدا در سال 2019 ظاهر شد. عملکرد اصلی آن شامل ایجاد پراکسی های SOCKS5 در ماشین های در معرض خطر است. این پراکسی ها به عنوان مجاری برای ترافیک جعلی مرتبط با سایر اشکال بدافزار عمل می کنند. تکرارهای اخیر این بدافزار خاص، قابلیتهای خود را افزایش داده است و امکان بازیابی و اجرای بارهای تهدید اضافی را فراهم کرده است.
استقرار تاریخی SystemBC به عنوان مجرای حملات باج افزار به خوبی مستند شده است. در دسامبر 2020، محققان نمونههایی از متوسل شدن اپراتورهای باجافزار به SystemBC را بهعنوان یک درب پشتی مبتنی بر Tor برای پیادهسازی عفونتهای Ryuk و Egregor باجافزار ، رونمایی کردند.
جذابیت SystemBC در اثربخشی آن در چنین عملیاتی است که امکان تعامل همزمان با چندین هدف را از طریق رویههای خودکار فراهم میکند. این به نوبه خود، استقرار باجافزار را از طریق ابزارهای بومی ویندوز تسهیل میکند، در صورتی که مهاجمان موفق به دریافت اعتبار مناسب شوند.
DroxiDat ممکن است به عنوان پیشرو حملات باج افزار استفاده شود
اتصالات DroxiDat با استقرار باج افزار از یک رویداد مرتبط با مراقبت های بهداشتی که DroxiDat در آن دخیل بود، سرچشمه می گیرد. این رویداد در بازه زمانی مشابهی رخ داد که در آن باجافزار Nokoyawa در ارتباط با Cobalt Strike توزیع شده است.
بدافزار مورد استفاده در این حمله بر خلاف SystemBC اصلی، ماهیت کارآمد و کارآمدی دارد. توسعهدهندگان آن عملکرد آن را کاهش دادهاند و بیشتر ویژگیهای موجود در SystemBC را کنار گذاشتهاند تا عملکرد آن را بهعنوان یک نمایهگر اصلی سیستم اختصاص دهند. نقش آن شامل استخراج اطلاعات و انتقال آن به یک سرور راه دور است.
در نتیجه، DroxiDat فاقد قابلیت دانلود و اجرای بارهای بدافزار اضافی است. با این حال، میتواند با شنوندگان راه دور پیوند برقرار کند، انتقال دادههای دو طرفه را تسهیل میکند، و میتواند رجیستری سیستم دستگاه آلوده را دستکاری کند.
هویت عاملان تهدید مسئول این حملات ناشناخته است. با این وجود، نشانه های موجود به شدت حاکی از دخالت احتمالی گروه های هکر روسی، به ویژه FIN12 (همچنین به عنوان طوفان پسته) است. این گروه به دلیل استقرار SystemBC در کنار Cobalt Strike Beacons به عنوان بخشی از استراتژی خود برای ارائه باج افزار شناخته شده است.