ランサムウェア攻撃の疑いで導入された DroxiDat マルウェア

アフリカ南部の発電会社に対するサイバー攻撃は、正体不明の攻撃者によるものと考えられています。この攻撃には、DroxiDat という名前の SystemBC マルウェアの新しいバージョンが使用されており、ランサムウェア攻撃の疑いへの前段階として機能しました。

セキュリティ研究者らは、攻撃が 2023 年 3 月下旬に発生したと報告しました。その時点では、悪意のある活動はまだ初期段階にありました。攻撃戦略には、DroxiDat を使用して標的のシステムをプロファイリングし、SOCKS5 プロキシを介してコマンド アンド コントロール (C2) インフラストラクチャとの間でネットワーク トラフィックを誘導することが含まれていました。これは、アフリカ南部の国の重要なインフラへのコバルト・ストライク・ビーコンの配備と同時に行われました。

DroxiDat は古い SystemBC マルウェアを基盤に構築されています

SystemBC は、C/C++ でコード化されたマルウェアおよびリモート管理ツールの一種で、2019 年に初めて検出されました。これは、侵害されたコンピュータ上に SOCKS5 プロキシを確立するように設計されており、これを攻撃者が利用して、他の形式のマルウェアに関連する悪意のあるトラフィックをトンネリングすることができます。 。 SystemBC の高度な反復では、追加の悪意のあるペイロードをダウンロードして実行することもできます。

過去の事例では、SystemBC がランサムウェア攻撃の経路として使用されていたことが示されています。 2020 年 12 月、ソフォスは、ランサムウェア オペレーターが、Ryuk および Egregor 感染の際にすぐに利用できる Tor バックドアとして SystemBC リモート アクセス トロイの木馬 (RAT) に依存していることを明らかにしました。

一方、DroxiDat はランサムウェアの展開と関係があります。 DroxiDat に関連するヘルスケア分野のインシデントは、Cobalt Strike に関連して Nokoyawa ランサムウェアが配信されたのとほぼ同じ時期に発生しました。

この特定の攻撃で使用されたマルウェアは、SystemBC と比較してよりコンパクトで合理化されています。これには SystemBC にある多くの機能が欠けており、主に対象システムのプロファイリングを行い、取得した情報をリモート サーバーに送信するために使用されます。 SystemBC とは異なり、DroxiDat には追加のコードをダウンロードして実行する機能はありませんが、リモート リスナーとの接続を確立してデータを交換したり、システム レジストリを変更したりすることができます。

脅威アクターの身元は不明のままですが、入手可能な証拠は、ロシアのランサムウェア グループ、特に FIN12 (ピスタチオ テンペストとしても知られています) が関与している可能性を示唆しています。このグループは、ランサムウェア攻撃を展開するために SystemBC を Cobalt Strike Beacon と組み合わせて使用していることが認められています。