„DroxiDat“ kenkėjiška programa, įdiegta įtariamo išpirkos reikalaujančio programinės įrangos atakos metu

Kibernetinė ataka prieš elektros energijos gamybos įmonę Pietų Afrikoje buvo priskirta nenustatytam grėsmės veikėjui. Šios atakos metu buvo panaudota nauja SystemBC kenkėjiškos programinės įrangos versija, pavadinta DroxiDat, kuri buvo preliminarus žingsnis prieš įtariamą išpirkos programinės įrangos ataką.

Saugumo tyrėjai pranešė, kad ataka įvyko 2023 m. kovo pabaigoje. Tuo metu kenkėjiška veikla dar buvo ankstyvoje stadijoje. Atakos strategija apėmė DroxiDat naudojimą, kad būtų galima profiliuoti tikslinę sistemą ir nukreipti tinklo srautą per SOCKS5 tarpinius serverius į komandų ir valdymo (C2) infrastruktūrą ir iš jos. Tai buvo padaryta kartu su Cobalt Strike Beacons dislokavimu svarbioje pietų Afrikos tautos infrastruktūroje.

„DroxiDat“ sukurta pagal senesnę „SystemBC“ kenkėjišką programą

SystemBC yra kenkėjiškų programų tipas ir nuotolinis administravimo įrankis, užkoduotas C/C++, iš pradžių aptiktas 2019 m. Jis skirtas SOCKS5 tarpiniams serveriams sukurti pažeistuose kompiuteriuose, kuriuos vėliau gali panaudoti grėsmių subjektai, siekdami nukreipti kenkėjišką srautą, susijusį su kitomis kenkėjiškomis programomis. . Išplėstinės SystemBC iteracijos taip pat gali atsisiųsti ir vykdyti papildomų kenksmingų naudingųjų apkrovų.

Ankstesni atvejai parodė, kad SystemBC buvo naudojamas kaip išpirkos reikalaujančių programų atakų kanalas. 2020 m. gruodį „Sophos“ atskleidė, kad „Ryuk“ ir „Egregor“ infekcijų atveju „Ryuk“ ir „Egregor“ infekcijų atveju „Ryuk“ ir „Egregor“ infekcijų atveju išpirkos reikalaujančių programų operatoriai pasitikėjo „SystemBC Remote Access Trojan“ (RAT).

Kita vertus, „DroxiDat“ turi sąsajų su išpirkos reikalaujančių programų diegimu. Incidentas sveikatos priežiūros sektoriuje, susijęs su DroxiDat, įvyko maždaug tuo pačiu laikotarpiu, kai kartu su „Cobalt Strike“ buvo pristatyta „Nokoyawa“ išpirkos reikalaujanti programa.

Šioje konkrečioje atakoje naudojama kenkėjiška programa yra kompaktiškesnė ir paprastesnė, palyginti su SystemBC. Jame trūksta daugelio „SystemBC“ funkcijų ir ji pirmiausia naudojama tikslinei sistemai profiliuoti ir gautai informacijai siųsti į nuotolinį serverį. Skirtingai nuo SystemBC, DroxiDat neturi galimybės atsisiųsti ir vykdyti papildomo kodo, tačiau gali užmegzti ryšius su nuotoliniais klausytojais ir keistis duomenimis, taip pat atlikti sistemos registro pakeitimus.

Nors grėsmės dalyvių tapatybė lieka nežinoma, turimi įrodymai rodo, kad gali būti įtrauktos Rusijos išpirkos reikalaujančios programos, ypač FIN12 (taip pat žinomas kaip Pistachio Tempest). Ši grupė pripažinta, kad naudoja SystemBC kartu su „Cobalt Strike Beacons“, diegdama „ransomware“ atakas.