DroxiDat Malware implementeret i mistænkt Ransomware-angreb
Et cyberangreb på et elproduktionsselskab i det sydlige Afrika er blevet tilskrevet en uidentificeret trusselsaktør. Dette angreb involverede brugen af en ny version af SystemBC-malwaren ved navn DroxiDat, som fungerede som et indledende skridt til et formodet ransomware-angreb.
Sikkerhedsforskere rapporterede, at angrebet fandt sted i slutningen af marts 2023. Den ondsindede aktivitet var stadig i de tidlige stadier på det tidspunkt. Angrebsstrategien involverede at bruge DroxiDat til at profilere det målrettede system og dirigere netværkstrafik gennem SOCKS5-proxyer til og fra kommando-og-kontrol-infrastrukturen (C2). Dette blev gjort sideløbende med indsættelsen af Cobalt Strike Beacons i den kritiske infrastruktur i en nation i det sydlige Afrika.
DroxiDat bygger på ældre systemBC-malware
SystemBC er en type malware og fjernadministrativt værktøj kodet i C/C++, som oprindeligt blev opdaget i 2019. Det er designet til at etablere SOCKS5-proxyer på kompromitterede computere, som derefter kan bruges af trusselsaktører til at tunnelere ondsindet trafik relateret til andre former for malware . Avancerede iterationer af SystemBC kan også downloade og udføre yderligere ondsindede nyttelaster.
Tidligere tilfælde har vist, at SystemBC er blevet brugt som en kanal til ransomware-angreb. I december 2020 afslørede Sophos, at ransomware-operatører stolede på SystemBC Remote Access Trojan (RAT) som en let tilgængelig Tor-bagdør til Ryuk- og Egregor-infektioner.
DroxiDat har på den anden side forbindelser til udrulning af ransomware. En hændelse i sundhedssektoren, der involverede DroxiDat, fandt sted omkring samme periode, hvor Nokoyawa ransomware blev leveret i forbindelse med Cobalt Strike.
Den malware, der bruges i dette særlige angreb, er mere kompakt og strømlinet sammenlignet med SystemBC. Det mangler mange af de funktioner, der findes i SystemBC, og det bruges primært til at profilere det målrettede system og sende den erhvervede information til en fjernserver. I modsætning til SystemBC besidder DroxiDat ikke evnen til at downloade og udføre yderligere kode, men den kan etablere forbindelser med fjernlyttere og udveksle data, samt foretage ændringer i systemregistret.
Selvom identiteten af trusselsaktørerne forbliver ukendt, tyder tilgængelige beviser på mulig involvering af russiske ransomware-grupper, specifikt FIN12 (også kendt som Pistachio Tempest). Denne gruppe er anerkendt for at bruge SystemBC i forbindelse med Cobalt Strike Beacons til implementering af ransomware-angreb.