DroxiDat 恶意软件部署在疑似勒索软件攻击中

针对南部非洲一家发电公司的网络攻击被归咎于身份不明的威胁行为者。这次攻击涉及利用名为 DroxiDat 的新版本 SystemBC 恶意软件，这是可疑勒索软件攻击的第一步。

安全研究人员报告称，此次攻击发生于 2023 年 3 月下旬。当时恶意活动仍处于早期阶段。攻击策略涉及使用 DroxiDat 来分析目标系统，并通过 SOCKS5 代理引导网络流量往返于命令与控制 (C2) 基础设施。与此同时，在南部非洲一个国家的关键基础设施中部署了钴打击信标。

DroxiDat 基于旧版 SystemBC 恶意软件构建

SystemBC 是一种用 C/C++ 编码的恶意软件和远程管理工具，最初于 2019 年检测到。它旨在在受感染的计算机上建立 SOCKS5 代理，然后威胁行为者可以利用该代理来隧道与其他形式的恶意软件相关的恶意流量。 SystemBC 的高级迭代还可以下载并执行其他恶意负载。

过去的实例表明，SystemBC 已被用作勒索软件攻击的渠道。 2020 年 12 月，Sophos 透露勒索软件运营商依赖 SystemBC 远程访问木马 (RAT) 作为随时可用的 Tor 后门来感染 Ryuk 和 Egregor。

另一方面，DroxiDat 与勒索软件部署有联系。涉及 DroxiDat 的医疗保健行业事件大约在 Nokoyawa 勒索软件与 Cobalt Strike 一起传播的同一时间发生。

与 SystemBC 相比，此特定攻击中使用的恶意软件更加紧凑和精简。它缺乏 SystemBC 中的许多功能，主要用于分析目标系统并将获取的信息发送到远程服务器。与 SystemBC 不同，DroxiDat 不具备下载和执行额外代码的能力，但它可以与远程侦听器建立连接并交换数据，以及对系统注册表进行修改。

尽管威胁行为者的身份仍然未知，但现有证据表明俄罗斯勒索软件组织可能参与其中，特别是 FIN12（也称为 Pistachio Tempest）。该组织因使用 SystemBC 与 Cobalt Strike Beacons 结合部署勒索软件攻击而闻名。