Logiciel malveillant DroxiDat déployé dans une attaque de ransomware suspectée

Une cyberattaque contre une entreprise de production d'électricité en Afrique australe a été attribuée à un acteur menaçant non identifié. Cette attaque impliquait l'utilisation d'une nouvelle version du logiciel malveillant SystemBC nommé DroxiDat, qui a servi d'étape préliminaire à une attaque suspectée de ransomware.

Des chercheurs en sécurité ont rapporté que l'attaque avait eu lieu fin mars 2023. L'activité malveillante en était encore à ses débuts à ce moment-là. La stratégie d'attaque consistait à utiliser DroxiDat pour profiler le système ciblé et diriger le trafic réseau via des proxys SOCKS5 vers et depuis l'infrastructure de commande et de contrôle (C2). Cela a été fait parallèlement au déploiement de Cobalt Strike Beacons dans l'infrastructure critique d'une nation d'Afrique australe.

DroxiDat s'appuie sur les anciens logiciels malveillants SystemBC

SystemBC est un type de malware et d'outil d'administration à distance codé en C/C++, initialement détecté en 2019. Il est conçu pour établir des proxys SOCKS5 sur des ordinateurs compromis, qui peuvent ensuite être utilisés par des pirates pour tunneliser le trafic malveillant lié à d'autres formes de malware. . Les itérations avancées de SystemBC peuvent également télécharger et exécuter des charges utiles malveillantes supplémentaires.

Des exemples passés ont montré que SystemBC a été utilisé comme canal pour les attaques de ransomwares. En décembre 2020, Sophos a révélé que les opérateurs de rançongiciels s'appuyaient sur le cheval de Troie d'accès à distance SystemBC (RAT) comme porte dérobée Tor facilement disponible pour les infections Ryuk et Egregor.

DroxiDat, d'autre part, a des liens avec le déploiement de ransomwares. Un incident dans le secteur de la santé impliquant DroxiDat s'est produit à peu près à la même période lorsque le rançongiciel Nokoyawa a été livré en conjonction avec Cobalt Strike.

Le logiciel malveillant utilisé dans cette attaque particulière est plus compact et rationalisé que SystemBC. Il manque de nombreuses fonctionnalités trouvées dans SystemBC et est principalement utilisé pour profiler le système ciblé et envoyer les informations acquises à un serveur distant. Contrairement à SystemBC, DroxiDat ne possède pas la capacité de télécharger et d'exécuter du code supplémentaire, mais il peut établir des connexions avec des auditeurs distants et échanger des données, ainsi qu'apporter des modifications au registre du système.

Bien que l'identité des acteurs de la menace reste inconnue, les preuves disponibles suggèrent l'implication possible de groupes de rançongiciels russes, en particulier FIN12 (également connu sous le nom de Pistachio Tempest). Ce groupe est reconnu pour utiliser SystemBC en conjonction avec Cobalt Strike Beacons pour déployer des attaques de rançongiciels.