Вредоносное ПО DroxiDat, развернутое при подозрении на атаку программ-вымогателей

Кибератака на энергетическую компанию на юге Африки была приписана неустановленному злоумышленнику. Эта атака включала использование новой версии вредоносного ПО SystemBC под названием DroxiDat, что послужило предварительным шагом к предполагаемой атаке программы-вымогателя.

Исследователи безопасности сообщили, что атака произошла в конце марта 2023 года. В то время вредоносная активность все еще находилась на ранней стадии. Стратегия атаки включала использование DroxiDat для профилирования целевой системы и направления сетевого трафика через прокси-серверы SOCKS5 в инфраструктуру управления и контроля (C2) и обратно. Это было сделано одновременно с развертыванием маяков Cobalt Strike в критической инфраструктуре страны на юге Африки.

DroxiDat основывается на старом вредоносном ПО SystemBC

SystemBC — это тип вредоносного ПО и инструмент удаленного администрирования, написанный на языке C/C++, впервые обнаруженный в 2019 году. Он предназначен для установки прокси-серверов SOCKS5 на взломанных компьютерах, которые затем могут использоваться злоумышленниками для туннелирования вредоносного трафика, связанного с другими формами вредоносных программ. . Расширенные версии SystemBC также могут загружать и выполнять дополнительные вредоносные полезные нагрузки.

Прошлые случаи показали, что SystemBC использовался в качестве канала для атак программ-вымогателей. В декабре 2020 года Sophos сообщила, что операторы программ-вымогателей полагались на троян удаленного доступа SystemBC (RAT) как на легкодоступный бэкдор Tor для заражения Ryuk и Egregor.

DroxiDat, с другой стороны, связан с развертыванием программ-вымогателей. Инцидент в сфере здравоохранения с участием DroxiDat произошел примерно в то же время, когда программа-вымогатель Nokoyawa была доставлена вместе с Cobalt Strike.

Вредоносное ПО, используемое в этой конкретной атаке, более компактно и оптимизировано по сравнению с SystemBC. В нем отсутствуют многие функции SystemBC, и он в основном используется для профилирования целевой системы и отправки полученной информации на удаленный сервер. В отличие от SystemBC, DroxiDat не обладает возможностью загрузки и выполнения дополнительного кода, но может устанавливать соединения с удаленными слушателями и обмениваться данными, а также вносить изменения в системный реестр.

Хотя личность злоумышленников остается неизвестной, имеющиеся данные свидетельствуют о возможной причастности российских групп вымогателей, в частности FIN12 (также известного как Pistachio Tempest). Эта группа известна тем, что использует SystemBC вместе с маяками Cobalt Strike для развертывания атак программ-вымогателей.