DroxiDat-Malware bei mutmaßlichem Ransomware-Angriff eingesetzt
Ein Cyberangriff auf ein Energieerzeugungsunternehmen im südlichen Afrika wurde einem unbekannten Bedrohungsakteur zugeschrieben. Bei diesem Angriff kam eine neue Version der SystemBC-Malware namens DroxiDat zum Einsatz, die als Vorstufe zu einem mutmaßlichen Ransomware-Angriff diente.
Sicherheitsforscher berichteten, dass der Angriff Ende März 2023 stattfand. Die bösartige Aktivität befand sich zu diesem Zeitpunkt noch in einem frühen Stadium. Die Angriffsstrategie umfasste die Verwendung von DroxiDat, um ein Profil des Zielsystems zu erstellen und den Netzwerkverkehr über SOCKS5-Proxys zur und von der Command-and-Control (C2)-Infrastruktur zu leiten. Dies geschah parallel zum Einsatz von Cobalt Strike Beacons in der kritischen Infrastruktur eines Landes im südlichen Afrika.
DroxiDat baut auf älterer SystemBC-Malware auf
SystemBC ist eine Art Malware und Remote-Verwaltungstool, die in C/C++ codiert ist und erstmals im Jahr 2019 entdeckt wurde. Es wurde entwickelt, um SOCKS5-Proxys auf kompromittierten Computern einzurichten, die dann von Bedrohungsakteuren genutzt werden können, um bösartigen Datenverkehr im Zusammenhang mit anderen Formen von Malware zu tunneln . Erweiterte Iterationen von SystemBC können außerdem zusätzliche bösartige Payloads herunterladen und ausführen.
Frühere Fälle haben gezeigt, dass SystemBC als Kanal für Ransomware-Angriffe genutzt wurde. Im Dezember 2020 enthüllte Sophos, dass Ransomware-Betreiber den SystemBC Remote Access Trojan (RAT) als leicht verfügbare Tor-Hintertür für Ryuk- und Egregor-Infektionen nutzten.
DroxiDat hingegen hat Verbindungen zur Ransomware-Bereitstellung. Ein Vorfall im Gesundheitswesen mit DroxiDat ereignete sich etwa zur gleichen Zeit, als Nokoyawa-Ransomware in Verbindung mit Cobalt Strike verbreitet wurde.
Die bei diesem speziellen Angriff eingesetzte Malware ist im Vergleich zu SystemBC kompakter und schlanker. Es fehlen viele der in SystemBC enthaltenen Funktionen und wird hauptsächlich dazu verwendet, das Zielsystem zu profilieren und die erfassten Informationen an einen Remote-Server zu senden. Im Gegensatz zu SystemBC verfügt DroxiDat nicht über die Möglichkeit, zusätzlichen Code herunterzuladen und auszuführen, kann jedoch Verbindungen mit Remote-Listenern herstellen und Daten austauschen sowie Änderungen an der Systemregistrierung vornehmen.
Obwohl die Identität der Bedrohungsakteure weiterhin unbekannt ist, deuten die verfügbaren Beweise auf eine mögliche Beteiligung russischer Ransomware-Gruppen, insbesondere FIN12 (auch bekannt als Pistachio Tempest), hin. Diese Gruppe ist für die Verwendung von SystemBC in Verbindung mit Cobalt Strike Beacons zur Durchführung von Ransomware-Angriffen bekannt.