DroxiDat Malware utplacerad i misstänkt Ransomware-attack
En cyberattack mot ett kraftproduktionsföretag i södra Afrika har tillskrivits en oidentifierad hotaktör. Denna attack involverade användningen av en ny version av SystemBC-skadlig programvara vid namn DroxiDat, som fungerade som ett preliminärt steg till en misstänkt ransomware-attack.
Säkerhetsforskare rapporterade att attacken ägde rum i slutet av mars 2023. Den skadliga aktiviteten var fortfarande i ett tidigt skede vid den tiden. Attackstrategin innebar att använda DroxiDat för att profilera det riktade systemet och dirigera nätverkstrafik genom SOCKS5-proxyer till och från kommando-och-kontroll-infrastrukturen (C2). Detta gjordes tillsammans med utplaceringen av Cobalt Strike Beacons i den kritiska infrastrukturen i en nation i södra Afrika.
DroxiDat bygger på äldre SystemBC Malware
SystemBC är en typ av skadlig programvara och fjärradministrativt verktyg kodat i C/C++, som ursprungligen upptäcktes 2019. Det är utformat för att etablera SOCKS5-proxyer på komprometterade datorer, som sedan kan användas av hotaktörer för att tunnla skadlig trafik relaterad till andra former av skadlig programvara . Avancerade iterationer av SystemBC kan också ladda ner och köra ytterligare skadliga nyttolaster.
Tidigare instanser har visat att SystemBC har använts som en kanal för ransomware-attacker. I december 2020 avslöjade Sophos att ransomware-operatörer litade på SystemBC Remote Access Trojan (RAT) som en lättillgänglig Tor-bakdörr för Ryuk- och Egregor-infektioner.
DroxiDat, å andra sidan, har kopplingar till utplacering av ransomware. En incident i sjukvårdssektorn som involverade DroxiDat inträffade ungefär under samma tidsperiod då Nokoyawa ransomware levererades i samband med Cobalt Strike.
Skadlig programvara som används i just denna attack är mer kompakt och strömlinjeformad jämfört med SystemBC. Det saknar många av funktionerna som finns i SystemBC och används främst för att profilera det riktade systemet och skicka den inhämtade informationen till en fjärrserver. Till skillnad från SystemBC har DroxiDat inte förmågan att ladda ner och exekvera ytterligare kod, men den kan upprätta förbindelser med fjärravlyssnare och utbyta data, samt göra ändringar i systemregistret.
Även om identiteten på hotaktörerna fortfarande är okänd, tyder tillgängliga bevis på möjlig inblandning av ryska ransomware-grupper, särskilt FIN12 (även känd som Pistachio Tempest). Den här gruppen är känd för att använda SystemBC i kombination med Cobalt Strike Beacons för att distribuera ransomware-attacker.
