Κακόβουλο λογισμικό DroxiDat που αναπτύσσεται σε ύποπτη επίθεση ransomware

Μια κυβερνοεπίθεση σε εταιρεία παραγωγής ηλεκτρικής ενέργειας στη νότια Αφρική αποδόθηκε σε έναν άγνωστο παράγοντα απειλής. Αυτή η επίθεση περιελάμβανε τη χρήση μιας νέας έκδοσης του κακόβουλου λογισμικού SystemBC με το όνομα DroxiDat, η οποία χρησίμευσε ως προκαταρκτικό βήμα για μια ύποπτη επίθεση ransomware.

Ερευνητές ασφαλείας ανέφεραν ότι η επίθεση έλαβε χώρα στα τέλη Μαρτίου 2023. Η κακόβουλη δραστηριότητα ήταν ακόμα στα αρχικά της στάδια εκείνη την εποχή. Η στρατηγική επίθεσης περιλάμβανε τη χρήση του DroxiDat για το προφίλ του στοχευόμενου συστήματος και την κατεύθυνση της κυκλοφορίας του δικτύου μέσω διακομιστών μεσολάβησης SOCKS5 προς και από την υποδομή εντολών και ελέγχου (C2). Αυτό έγινε παράλληλα με την ανάπτυξη των Cobalt Strike Beacons στην κρίσιμη υποδομή ενός έθνους στη νότια Αφρική.

Το DroxiDat βασίζεται σε παλαιότερο κακόβουλο λογισμικό SystemBC

Το SystemBC είναι ένας τύπος κακόβουλου λογισμικού και εργαλείου απομακρυσμένης διαχείρισης κωδικοποιημένο σε C/C++, που εντοπίστηκε αρχικά το 2019. Έχει σχεδιαστεί για τη δημιουργία διακομιστή μεσολάβησης SOCKS5 σε παραβιασμένους υπολογιστές, οι οποίοι στη συνέχεια μπορούν να χρησιμοποιηθούν από φορείς απειλών για τη διοχέτευση κακόβουλης κυκλοφορίας που σχετίζεται με άλλες μορφές κακόβουλου λογισμικού . Οι προηγμένες επαναλήψεις του SystemBC μπορούν επίσης να κατεβάσουν και να εκτελέσουν επιπλέον κακόβουλα ωφέλιμα φορτία.

Προηγούμενες περιπτώσεις έχουν δείξει ότι το SystemBC έχει χρησιμοποιηθεί ως αγωγός για επιθέσεις ransomware. Τον Δεκέμβριο του 2020, η Sophos αποκάλυψε ότι οι χειριστές ransomware βασίστηκαν στο SystemBC Remote Access Trojan (RAT) ως μια άμεσα διαθέσιμη κερκόπορτα Tor για μολύνσεις Ryuk και Egregor.

Το DroxiDat, από την άλλη πλευρά, έχει συνδέσεις με την ανάπτυξη ransomware. Ένα περιστατικό στον τομέα της υγειονομικής περίθαλψης που αφορούσε το DroxiDat συνέβη περίπου την ίδια χρονική περίοδο που παραδόθηκε το ransomware Nokoyawa σε συνδυασμό με το Cobalt Strike.

Το κακόβουλο λογισμικό που χρησιμοποιείται στη συγκεκριμένη επίθεση είναι πιο συμπαγές και βελτιωμένο σε σύγκριση με το SystemBC. Δεν διαθέτει πολλές από τις δυνατότητες που υπάρχουν στο SystemBC και χρησιμοποιείται κυρίως για το προφίλ του στοχευμένου συστήματος και την αποστολή των ληφθέντων πληροφοριών σε έναν απομακρυσμένο διακομιστή. Σε αντίθεση με το SystemBC, το DroxiDat δεν διαθέτει τη δυνατότητα λήψης και εκτέλεσης πρόσθετου κώδικα, αλλά μπορεί να δημιουργήσει συνδέσεις με απομακρυσμένους ακροατές και να ανταλλάξει δεδομένα, καθώς και να κάνει τροποποιήσεις στο μητρώο του συστήματος.

Αν και η ταυτότητα των παραγόντων της απειλής παραμένει άγνωστη, τα διαθέσιμα στοιχεία υποδηλώνουν πιθανή εμπλοκή ρωσικών ομάδων ransomware, και συγκεκριμένα το FIN12 (γνωστό και ως Pistachio Tempest). Αυτή η ομάδα αναγνωρίζεται για τη χρήση του SystemBC σε συνδυασμό με τα Cobalt Strike Beacons για την ανάπτυξη επιθέσεων ransomware.