Złośliwe oprogramowanie DroxiDat wdrożone w podejrzanym ataku ransomware

Cyberatak na firmę energetyczną w południowej Afryce został przypisany niezidentyfikowanemu ugrupowaniu cyberprzestępczemu. Atak ten obejmował wykorzystanie nowej wersji złośliwego oprogramowania SystemBC o nazwie DroxiDat, która posłużyła jako wstępny krok do podejrzanego ataku ransomware.

Analitycy bezpieczeństwa poinformowali, że atak miał miejsce pod koniec marca 2023 r. Szkodliwa aktywność była wtedy jeszcze na wczesnym etapie. Strategia ataku obejmowała wykorzystanie DroxiDat do profilowania docelowego systemu i kierowania ruchu sieciowego przez serwery proxy SOCKS5 do iz infrastruktury dowodzenia i kontroli (C2). Dokonano tego wraz z rozmieszczeniem Cobalt Strike Beacons w krytycznej infrastrukturze kraju w południowej Afryce.

DroxiDat opiera się na starszym złośliwym oprogramowaniu SystemBC

SystemBC to rodzaj złośliwego oprogramowania i narzędzie do zdalnej administracji zakodowane w języku C/C++, wykryte początkowo w 2019 r. Zostało zaprojektowane w celu ustanowienia serwerów proxy SOCKS5 na zaatakowanych komputerach, które następnie mogą zostać wykorzystane przez cyberprzestępców do tunelowania złośliwego ruchu związanego z innymi formami złośliwego oprogramowania . Zaawansowane iteracje SystemBC mogą również pobierać i uruchamiać dodatkowe złośliwe ładunki.

Wcześniejsze przypadki pokazały, że SystemBC był używany jako kanał dla ataków ransomware. W grudniu 2020 r. Sophos ujawnił, że operatorzy oprogramowania ransomware polegali na trojanie zdalnego dostępu SystemBC (RAT) jako łatwo dostępnym backdoorze Tora dla infekcji Ryuk i Egregor.

Z drugiej strony DroxiDat ma powiązania z wdrażaniem oprogramowania ransomware. Incydent w sektorze opieki zdrowotnej z udziałem DroxiDat miał miejsce mniej więcej w tym samym okresie, w którym oprogramowanie ransomware Nokoyawa zostało dostarczone w połączeniu z Cobalt Strike.

Szkodliwe oprogramowanie użyte w tym konkretnym ataku jest bardziej zwarte i usprawnione w porównaniu z SystemBC. Brakuje mu wielu funkcji znalezionych w SystemBC i jest używany głównie do profilowania docelowego systemu i wysyłania uzyskanych informacji na zdalny serwer. W przeciwieństwie do SystemBC, DroxiDat nie posiada możliwości pobierania i wykonywania dodatkowego kodu, ale może nawiązywać połączenia ze zdalnymi słuchaczami i wymieniać dane, a także wprowadzać modyfikacje w rejestrze systemu.

Chociaż tożsamość cyberprzestępców pozostaje nieznana, dostępne dowody wskazują na możliwy udział rosyjskich grup ransomware, w szczególności FIN12 (znanego również jako Pistachio Tempest). Ta grupa jest znana z używania SystemBC w połączeniu z Cobalt Strike Beacons do przeprowadzania ataków ransomware.