DroxiDat 惡意軟件部署在疑似勒索軟件攻擊中

針對南部非洲一家發電公司的網絡攻擊被歸咎於身份不明的威脅行為者。這次攻擊涉及利用名為 DroxiDat 的新版本 SystemBC 惡意軟件，這是可疑勒索軟件攻擊的第一步。

安全研究人員報告稱，此次攻擊發生於 2023 年 3 月下旬。當時惡意活動仍處於早期階段。攻擊策略涉及使用 DroxiDat 來分析目標系統，並通過 SOCKS5 代理引導網絡流量往返於命令與控制 (C2) 基礎設施。與此同時，在南部非洲一個國家的關鍵基礎設施中部署了鈷打擊信標。

DroxiDat 基於舊版 SystemBC 惡意軟件構建

SystemBC 是一種用C/C++ 編碼的惡意軟件和遠程管理工具，最初於2019 年檢測到。它旨在在受感染的計算機上建立SOCKS5 代理，然後威脅行為者可以利用該代理來隧道與其他形式的惡意軟件相關的惡意流量。 SystemBC 的高級迭代還可以下載並執行其他惡意負載。

過去的實例表明，SystemBC 已被用作勒索軟件攻擊的渠道。 2020 年 12 月，Sophos 透露勒索軟件運營商依賴 SystemBC 遠程訪問木馬 (RAT) 作為隨時可用的 Tor 後門來感染 Ryuk 和 Egregor。

另一方面，DroxiDat 與勒索軟件部署有聯繫。涉及 DroxiDat 的醫療保健行業事件大約在 Nokoyawa 勒索軟件與 Cobalt Strike 一起傳播的同一時間發生。

與 SystemBC 相比，此特定攻擊中使用的惡意軟件更加緊湊和精簡。它缺乏 SystemBC 中的許多功能，主要用於分析目標系統並將獲取的信息發送到遠程服務器。與 SystemBC 不同，DroxiDat 不具備下載和執行額外代碼的能力，但它可以與遠程偵聽器建立連接並交換數據，以及對系統註冊表進行修改。

儘管威脅行為者的身份仍然未知，但現有證據表明俄羅斯勒索軟件組織可能參與其中，特別是 FIN12（也稱為 Pistachio Tempest）。該組織因使用 SystemBC 與 Cobalt Strike Beacons 結合部署勒索軟件攻擊而聞名。