Malware DroxiDat implantado em ataque suspeito de ransomware
Um ataque cibernético a uma empresa de geração de energia no sul da África foi atribuído a um agente de ameaça não identificado. Este ataque envolveu a utilização de uma nova versão do malware SystemBC chamado DroxiDat, que serviu como uma etapa preliminar para um ataque de ransomware suspeito.
Pesquisadores de segurança relataram que o ataque ocorreu no final de março de 2023. A atividade maliciosa ainda estava em seus estágios iniciais na época. A estratégia de ataque envolveu o uso do DroxiDat para traçar o perfil do sistema visado e direcionar o tráfego de rede por meio de proxies SOCKS5 de e para a infraestrutura de comando e controle (C2). Isso foi feito juntamente com a implantação de Cobalt Strike Beacons na infraestrutura crítica de uma nação no sul da África.
DroxiDat baseia-se em malware SystemBC mais antigo
SystemBC é um tipo de malware e ferramenta administrativa remota codificada em C/C++, inicialmente detectado em 2019. Ele foi projetado para estabelecer proxies SOCKS5 em computadores comprometidos, que podem ser utilizados por agentes de ameaças para encapsular o tráfego malicioso relacionado a outras formas de malware . As iterações avançadas do SystemBC também podem baixar e executar cargas maliciosas adicionais.
Instâncias anteriores mostraram que o SystemBC foi usado como um canal para ataques de ransomware. Em dezembro de 2020, a Sophos revelou que os operadores de ransomware contavam com o SystemBC Remote Access Trojan (RAT) como um backdoor do Tor prontamente disponível para infecções de Ryuk e Egregor.
O DroxiDat, por outro lado, tem conexões com a implantação de ransomware. Um incidente no setor de saúde envolvendo o DroxiDat ocorreu no mesmo período em que o ransomware Nokoyawa foi entregue em conjunto com o Cobalt Strike.
O malware empregado neste ataque específico é mais compacto e simplificado em comparação com o SystemBC. Ele não possui muitos dos recursos encontrados no SystemBC e é usado principalmente para criar o perfil do sistema de destino e enviar as informações adquiridas para um servidor remoto. Ao contrário do SystemBC, o DroxiDat não possui a capacidade de baixar e executar código adicional, mas pode estabelecer conexões com ouvintes remotos e trocar dados, bem como fazer modificações no registro do sistema.
Embora a identidade dos atores da ameaça permaneça desconhecida, as evidências disponíveis sugerem o possível envolvimento de grupos russos de ransomware, especificamente FIN12 (também conhecido como Pistachio Tempest). Este grupo é reconhecido por usar o SystemBC em conjunto com Cobalt Strike Beacons para implantar ataques de ransomware.