DroxiDat-malware ingezet bij vermoedelijke ransomware-aanval
Een cyberaanval op een energieopwekkingsbedrijf in zuidelijk Afrika is toegeschreven aan een onbekende dreiging. Bij deze aanval werd een nieuwe versie van de SystemBC-malware genaamd DroxiDat gebruikt, die diende als voorbereidende stap voor een vermoedelijke ransomware-aanval.
Beveiligingsonderzoekers meldden dat de aanval eind maart 2023 plaatsvond. De kwaadwillende activiteit bevond zich toen nog in de kinderschoenen. De aanvalsstrategie omvatte het gebruik van DroxiDat om het beoogde systeem te profileren en netwerkverkeer via SOCKS5-proxy's van en naar de command-and-control (C2)-infrastructuur te leiden. Dit gebeurde naast de inzet van Cobalt Strike Beacons in de kritieke infrastructuur van een natie in zuidelijk Afrika.
DroxiDat bouwt voort op oudere SystemBC-malware
SystemBC is een type malware en een hulpprogramma voor beheer op afstand, gecodeerd in C/C++, voor het eerst gedetecteerd in 2019. Het is ontworpen om SOCKS5-proxy's op gecompromitteerde computers in te stellen, die vervolgens door bedreigingsactoren kunnen worden gebruikt om kwaadaardig verkeer met betrekking tot andere vormen van malware te tunnelen. . Geavanceerde iteraties van SystemBC kunnen ook aanvullende kwaadaardige payloads downloaden en uitvoeren.
Eerdere voorbeelden hebben aangetoond dat SystemBC is gebruikt als kanaal voor ransomware-aanvallen. In december 2020 onthulde Sophos dat ransomware-operators vertrouwden op de SystemBC Remote Access Trojan (RAT) als een direct beschikbare Tor-backdoor voor Ryuk- en Egregor-infecties.
DroxiDat daarentegen heeft connecties met de inzet van ransomware. Een incident in de gezondheidszorg waarbij DroxiDat betrokken was, deed zich voor rond dezelfde periode waarin de Nokoyawa-ransomware samen met Cobalt Strike werd afgeleverd.
De malware die bij deze specifieke aanval wordt gebruikt, is compacter en gestroomlijnder in vergelijking met SystemBC. Het mist veel van de functies die in SystemBC worden aangetroffen en wordt voornamelijk gebruikt om het beoogde systeem te profileren en de verkregen informatie naar een externe server te sturen. In tegenstelling tot SystemBC beschikt DroxiDat niet over de mogelijkheid om extra code te downloaden en uit te voeren, maar het kan wel verbindingen tot stand brengen met externe luisteraars en gegevens uitwisselen, en ook wijzigingen aanbrengen in het systeemregister.
Hoewel de identiteit van de bedreigingsactoren onbekend blijft, suggereert het beschikbare bewijs de mogelijke betrokkenheid van Russische ransomware-groepen, met name FIN12 (ook bekend als Pistachio Tempest). Deze groep wordt erkend voor het gebruik van SystemBC in combinatie met Cobalt Strike Beacons voor het inzetten van ransomware-aanvallen.
