Malware DroxiDat distribuito in un sospetto attacco ransomware
Un attacco informatico a un'azienda di generazione di energia nell'Africa meridionale è stato attribuito a un attore della minaccia non identificato. Questo attacco ha comportato l'utilizzo di una nuova versione del malware SystemBC denominato DroxiDat, che è servito come passaggio preliminare a un sospetto attacco ransomware.
I ricercatori di sicurezza hanno riferito che l'attacco è avvenuto alla fine di marzo 2023. A quel tempo l'attività dannosa era ancora nelle sue fasi iniziali. La strategia di attacco prevedeva l'utilizzo di DroxiDat per profilare il sistema preso di mira e dirigere il traffico di rete attraverso i proxy SOCKS5 da e verso l'infrastruttura di comando e controllo (C2). Ciò è stato fatto insieme al dispiegamento di Cobalt Strike Beacon nell'infrastruttura critica di una nazione dell'Africa meridionale.
DroxiDat si basa su un vecchio malware SystemBC
SystemBC è un tipo di malware e strumento di amministrazione remota codificato in C/C++, inizialmente rilevato nel 2019. È progettato per stabilire proxy SOCKS5 su computer compromessi, che possono quindi essere utilizzati dagli attori delle minacce per incanalare il traffico dannoso correlato ad altre forme di malware . Le iterazioni avanzate di SystemBC possono anche scaricare ed eseguire ulteriori payload dannosi.
Casi passati hanno dimostrato che SystemBC è stato utilizzato come canale per attacchi ransomware. Nel dicembre 2020, Sophos ha rivelato che gli operatori di ransomware si affidavano al SystemBC Remote Access Trojan (RAT) come backdoor Tor prontamente disponibile per le infezioni Ryuk ed Egregor.
DroxiDat, d'altra parte, ha collegamenti con la distribuzione di ransomware. Un incidente nel settore sanitario che ha coinvolto DroxiDat si è verificato nello stesso periodo in cui il ransomware Nokoyawa è stato distribuito insieme a Cobalt Strike.
Il malware impiegato in questo particolare attacco è più compatto e snello rispetto a SystemBC. Manca di molte delle funzionalità presenti in SystemBC e viene utilizzato principalmente per profilare il sistema mirato e inviare le informazioni acquisite a un server remoto. A differenza di SystemBC, DroxiDat non possiede la capacità di scaricare ed eseguire codice aggiuntivo, ma può stabilire connessioni con ascoltatori remoti e scambiare dati, nonché apportare modifiche al registro di sistema.
Sebbene l'identità degli autori della minaccia rimanga sconosciuta, le prove disponibili suggeriscono il possibile coinvolgimento di gruppi ransomware russi, in particolare FIN12 (noto anche come Pistachio Tempest). Questo gruppo è riconosciuto per l'utilizzo di SystemBC insieme a Cobalt Strike Beacons per la distribuzione di attacchi ransomware.
