Feltételezett zsarolóvírus-támadásban telepített DroxiDat rosszindulatú program

Egy dél-afrikai áramtermelő vállalat elleni kibertámadást egy ismeretlen fenyegetés szereplőjének tulajdonítottak. Ez a támadás a SystemBC malware DroxiDat nevű új verziójának felhasználását jelentette, amely egy feltételezett ransomware támadás előzetes lépéseként szolgált.

A biztonsági kutatók arról számoltak be, hogy a támadásra 2023 márciusának végén került sor. A rosszindulatú tevékenység akkor még a kezdeti szakaszában volt. A támadási stratégia a DroxiDat felhasználását jelentette a megcélzott rendszer profilálásához és a hálózati forgalom SOCKS5 proxykon keresztül történő irányításához a parancs- és vezérlő (C2) infrastruktúrához, illetve onnan. Ez a Cobalt Strike Beacons bevetése mellett történt egy dél-afrikai nemzet kritikus infrastruktúrájában.

A DroxiDat régebbi SystemBC malware-ekre épül

A SystemBC egy C/C++ nyelven kódolt rosszindulatú program és távoli adminisztrációs eszköz, amelyet eredetileg 2019-ben észleltek. Úgy tervezték, hogy SOCKS5 proxykat hozzon létre a feltört számítógépeken, amelyeket aztán a fenyegetés szereplői felhasználhatnak a rosszindulatú programok más formáihoz kapcsolódó rosszindulatú forgalom átvezetésére. . A SystemBC speciális iterációi további rosszindulatú rakományokat is letölthetnek és végrehajthatnak.

Korábbi esetek kimutatták, hogy a SystemBC-t a ransomware támadások csatornájaként használták. 2020 decemberében a Sophos felfedte, hogy a zsarolóvírus-üzemeltetők a SystemBC Remote Access Trojan (RAT)-ra hagyatkoztak, mint könnyen elérhető Tor-hátsó ajtóra a Ryuk és Egregor fertőzések esetén.

A DroxiDat viszont kapcsolatban áll a ransomware telepítésével. Az egészségügyi szektorban a DroxiDattal kapcsolatos incidens körülbelül ugyanabban az időszakban történt, amikor a Nokoyawa ransomware-t a Cobalt Strike-kal együtt szállították.

Az ebben a támadásban alkalmazott rosszindulatú program a SystemBC-hez képest kompaktabb és áramvonalasabb. Hiányzik belőle a SystemBC-ben található számos szolgáltatás, és elsősorban a megcélzott rendszer profilálására és a megszerzett információk távoli szerverre küldésére szolgál. A SystemBC-vel ellentétben a DroxiDat nem képes további kódot letölteni és végrehajtani, de képes kapcsolatot létesíteni távoli figyelőkkel, adatokat cserélni, valamint módosítani tudja a rendszerleíró adatbázist.

Bár a fenyegetés szereplőinek kiléte továbbra sem ismert, a rendelkezésre álló bizonyítékok arra utalnak, hogy orosz ransomware csoportok, különösen a FIN12 (más néven Pistachio Tempest) érintettek. Ez a csoport elismerten használja a SystemBC-t a Cobalt Strike Beacons-szal együtt ransomware támadások bevetésére.