DroxiDat Malware utplassert i mistenkt løsepengevareangrep

Et cyberangrep på et kraftproduksjonsselskap i det sørlige Afrika er blitt tilskrevet en uidentifisert trusselaktør. Dette angrepet involverte bruk av en ny versjon av SystemBC-malwaren kalt DroxiDat, som fungerte som et foreløpig skritt til et mistenkt løsepenge-angrep.

Sikkerhetsforskere rapporterte at angrepet fant sted i slutten av mars 2023. Den ondsinnede aktiviteten var fortsatt i de tidlige stadiene på det tidspunktet. Angrepsstrategien innebar å bruke DroxiDat til å profilere det målrettede systemet og dirigere nettverkstrafikk gjennom SOCKS5-proxyer til og fra kommando-og-kontroll-infrastrukturen (C2). Dette ble gjort sammen med utplasseringen av Cobalt Strike Beacons i den kritiske infrastrukturen til en nasjon i det sørlige Afrika.

DroxiDat bygger på eldre systemBC skadelig programvare

SystemBC er en type skadelig programvare og eksternt administrativt verktøy kodet i C/C++, opprinnelig oppdaget i 2019. Det er utviklet for å etablere SOCKS5-proxyer på kompromitterte datamaskiner, som deretter kan brukes av trusselaktører til å tunnelere ondsinnet trafikk relatert til andre former for skadelig programvare. . Avanserte iterasjoner av SystemBC kan også laste ned og utføre ytterligere skadelige nyttelaster.

Tidligere tilfeller har vist at SystemBC har blitt brukt som en kanal for løsepenge-angrep. I desember 2020 avslørte Sophos at ransomware-operatører stolte på SystemBC Remote Access Trojan (RAT) som en lett tilgjengelig Tor-bakdør for Ryuk- og Egregor-infeksjoner.

DroxiDat, på den annen side, har forbindelser til utrulling av løsepengevare. En hendelse i helsesektoren som involverte DroxiDat skjedde rundt samme tidsperiode da Nokoyawa løsepengevare ble levert i forbindelse med Cobalt Strike.

Skadevaren som brukes i dette spesielle angrepet er mer kompakt og strømlinjeformet sammenlignet med SystemBC. Det mangler mange av funksjonene som finnes i SystemBC og brukes først og fremst til å profilere det målrettede systemet og sende den innhentede informasjonen til en ekstern server. I motsetning til SystemBC, har ikke DroxiDat muligheten til å laste ned og kjøre tilleggskode, men den kan etablere forbindelser med eksterne lyttere og utveksle data, samt gjøre endringer i systemregisteret.

Selv om identiteten til trusselaktørene forblir ukjent, tyder tilgjengelig bevis på mulig involvering av russiske løsepengevaregrupper, nærmere bestemt FIN12 (også kjent som Pistachio Tempest). Denne gruppen er anerkjent for å bruke SystemBC i forbindelse med Cobalt Strike Beacons for å distribuere løsepenge-angrep.