DroxiDat Malware utplassert i mistenkt løsepengevareangrep
Et cyberangrep på et kraftproduksjonsselskap i det sørlige Afrika er blitt tilskrevet en uidentifisert trusselaktør. Dette angrepet involverte bruk av en ny versjon av SystemBC-malwaren kalt DroxiDat, som fungerte som et foreløpig skritt til et mistenkt løsepenge-angrep.
Sikkerhetsforskere rapporterte at angrepet fant sted i slutten av mars 2023. Den ondsinnede aktiviteten var fortsatt i de tidlige stadiene på det tidspunktet. Angrepsstrategien innebar å bruke DroxiDat til å profilere det målrettede systemet og dirigere nettverkstrafikk gjennom SOCKS5-proxyer til og fra kommando-og-kontroll-infrastrukturen (C2). Dette ble gjort sammen med utplasseringen av Cobalt Strike Beacons i den kritiske infrastrukturen til en nasjon i det sørlige Afrika.
DroxiDat bygger på eldre systemBC skadelig programvare
SystemBC er en type skadelig programvare og eksternt administrativt verktøy kodet i C/C++, opprinnelig oppdaget i 2019. Det er utviklet for å etablere SOCKS5-proxyer på kompromitterte datamaskiner, som deretter kan brukes av trusselaktører til å tunnelere ondsinnet trafikk relatert til andre former for skadelig programvare. . Avanserte iterasjoner av SystemBC kan også laste ned og utføre ytterligere skadelige nyttelaster.
Tidligere tilfeller har vist at SystemBC har blitt brukt som en kanal for løsepenge-angrep. I desember 2020 avslørte Sophos at ransomware-operatører stolte på SystemBC Remote Access Trojan (RAT) som en lett tilgjengelig Tor-bakdør for Ryuk- og Egregor-infeksjoner.
DroxiDat, på den annen side, har forbindelser til utrulling av løsepengevare. En hendelse i helsesektoren som involverte DroxiDat skjedde rundt samme tidsperiode da Nokoyawa løsepengevare ble levert i forbindelse med Cobalt Strike.
Skadevaren som brukes i dette spesielle angrepet er mer kompakt og strømlinjeformet sammenlignet med SystemBC. Det mangler mange av funksjonene som finnes i SystemBC og brukes først og fremst til å profilere det målrettede systemet og sende den innhentede informasjonen til en ekstern server. I motsetning til SystemBC, har ikke DroxiDat muligheten til å laste ned og kjøre tilleggskode, men den kan etablere forbindelser med eksterne lyttere og utveksle data, samt gjøre endringer i systemregisteret.
Selv om identiteten til trusselaktørene forblir ukjent, tyder tilgjengelig bevis på mulig involvering av russiske løsepengevaregrupper, nærmere bestemt FIN12 (også kjent som Pistachio Tempest). Denne gruppen er anerkjent for å bruke SystemBC i forbindelse med Cobalt Strike Beacons for å distribuere løsepenge-angrep.