DroxiDat మాల్వేర్
దక్షిణాఫ్రికాలో ఉన్న విద్యుత్ ఉత్పాదక సంస్థపై సైబర్ దాడితో గుర్తించబడని మోసానికి సంబంధించిన నటుడు సంబంధం కలిగి ఉన్నాడు. దాడి డ్రోక్సీడాట్గా ట్రాక్ చేయబడిన నవల మాల్వేర్ ముప్పును ఉపయోగించింది. మాల్వేర్ మునుపు కనుగొనబడిన SystemBC యొక్క కొత్త పునరుక్తిగా నిర్ధారించబడింది మరియు ఊహించిన ransomware దాడికి ప్రాథమిక దశగా బహుశా అమలు చేయబడుతుంది.
ప్రాక్సీ సామర్థ్యాలతో కూడిన బ్యాక్డోర్ అయిన DroxiDat యొక్క విస్తరణ, కీలకమైన ఇన్ఫ్రాస్ట్రక్చర్లో కోబాల్ట్ స్ట్రైక్ బీకాన్ల వినియోగంతో ఏకకాలంలో జరిగింది. ఈ సంఘటన మార్చి 2023 చివరిలో జరిగిందని పరిశోధకులు నిర్ధారించారు. ఈ సమయంలో, దాడి ఆపరేషన్ దాని ప్రారంభ దశల్లో ఉందని నమ్ముతారు, సిస్టమ్ ప్రొఫైలింగ్ మరియు కమాండ్తో కమ్యూనికేషన్ను సులభతరం చేయడానికి SOCKS5 ప్రోటోకాల్ని ఉపయోగించి ప్రాక్సీ నెట్వర్క్ ఏర్పాటుపై దృష్టి సారించారు. -మరియు-నియంత్రణ (C2) అవస్థాపన.
DroxiDat సృష్టికర్తలు SystemBC మాల్వేర్ని ప్రాతిపదికగా ఉపయోగించారు
SystemBC అనేది C/C++లో కోడ్ చేయబడిన కమోడిటీ మాల్వేర్ మరియు రిమోట్ అడ్మినిస్ట్రేటివ్ టూల్. ముప్పు మొదట 2019లో తిరిగి వచ్చింది. దీని ప్రాథమిక విధి రాజీపడిన మెషీన్లపై SOCKS5 ప్రాక్సీలను ఏర్పాటు చేయడం. ఈ ప్రాక్సీలు ఇతర రకాల మాల్వేర్లకు లింక్ చేయబడిన బోగస్ ట్రాఫిక్కు వాహకాలుగా పనిచేస్తాయి. ఈ ప్రత్యేక మాల్వేర్ యొక్క ఇటీవలి పునరావృత్తులు సామర్థ్యాలను విస్తరించాయి, అదనపు థ్రెట్ పేలోడ్లను తిరిగి పొందడం మరియు అమలు చేయడం ప్రారంభించడం.
ransomware దాడులకు ఒక మార్గంగా SystemBC యొక్క చారిత్రక విస్తరణ చక్కగా నమోదు చేయబడింది. డిసెంబర్ 2020లో, Ryuk మరియు Egregor Ransomware ఇన్ఫెక్షన్లను అమలు చేయడం కోసం ransomware ఆపరేటర్లు తక్షణమే అందుబాటులో ఉండే టోర్ ఆధారిత బ్యాక్డోర్గా SystemBCని ఆశ్రయించిన సందర్భాలను పరిశోధకులు ఆవిష్కరించారు.
SystemBC యొక్క అప్పీల్ అటువంటి కార్యకలాపాలలో దాని ప్రభావంలో ఉంటుంది, స్వయంచాలక విధానాల ద్వారా బహుళ లక్ష్యాలతో ఏకకాలంలో నిమగ్నమవ్వడానికి అనుమతిస్తుంది. దాడి చేసేవారు తగిన ఆధారాలను పొందగలిగితే, ఇది స్థానిక విండోస్ సాధనాల ద్వారా ransomware యొక్క విస్తరణను సులభతరం చేస్తుంది.
DroxiDatని Ransomware దాడులకు పూర్వగామిగా ఉపయోగించవచ్చు
ransomware విస్తరణకు DroxiDat యొక్క కనెక్షన్లు DroxiDat ప్రమేయం ఉన్న ఆరోగ్య సంరక్షణ-సంబంధిత సంఘటన నుండి ఉద్భవించాయి. నోకోయావా రాన్సమ్వేర్ కోబాల్ట్ స్ట్రైక్తో కలిసి పంపిణీ చేయబడిందని విశ్వసించబడే ఇలాంటి సమయ వ్యవధిలో ఈ సంఘటన జరిగింది.
ఈ దాడిలో ఉపయోగించిన మాల్వేర్ అసలు SystemBCకి భిన్నంగా క్రమబద్ధీకరించబడిన మరియు సమర్థవంతమైన స్వభావాన్ని కలిగి ఉంటుంది. దీని డెవలపర్లు ప్రాథమిక సిస్టమ్ ప్రొఫైలర్గా దాని పనితీరును ప్రత్యేకీకరించడానికి, SystemBCలో కనిపించే చాలా ఫీచర్లను తొలగించి, దాని కార్యాచరణను తగ్గించారు. దీని పాత్ర సమాచారాన్ని సంగ్రహించడం మరియు రిమోట్ సర్వర్కు ప్రసారం చేయడం.
ఫలితంగా, DroxiDat అదనపు మాల్వేర్ పేలోడ్లను డౌన్లోడ్ చేసి, అమలు చేసే సామర్థ్యాన్ని కలిగి ఉండదు. అయినప్పటికీ, ఇది రిమోట్ శ్రోతలతో లింక్లను ఏర్పాటు చేయగలదు, ద్విదిశాత్మక డేటా బదిలీని సులభతరం చేస్తుంది మరియు సోకిన పరికరం యొక్క సిస్టమ్ రిజిస్ట్రీని మార్చగల సామర్థ్యాన్ని కలిగి ఉంటుంది.
దాడులకు పాల్పడిన బెదిరింపు నటుల గుర్తింపు ఇంకా తెలియలేదు. అయినప్పటికీ, ఇప్పటికే ఉన్న సూచనలు రష్యన్ హ్యాకర్ గ్రూపుల సంభావ్య ప్రమేయాన్ని గట్టిగా సూచిస్తున్నాయి, ముఖ్యంగా FIN12 (దీనిని పిస్తా టెంపెస్ట్ అని కూడా పిలుస్తారు). ఈ గుంపు ransomware డెలివరీ కోసం వారి వ్యూహంలో భాగంగా కోబాల్ట్ స్ట్రైక్ బీకాన్లతో పాటు SystemBCని అమలు చేయడానికి ప్రసిద్ధి చెందింది.