Logiciel malveillant DroxiDat

Un acteur non identifié lié à la fraude a été associé à une cyberattaque contre une entreprise de production d'électricité située en Afrique australe. L'attaque a utilisé une nouvelle menace de logiciel malveillant suivie sous le nom de DroxiDat. Il est confirmé que le malware est une version plus récente de SystemBC découvert précédemment et est vraisemblablement déployé comme étape préliminaire pour une attaque de ransomware anticipée.

Le déploiement de DroxiDat, une porte dérobée équipée de capacités de proxy, s'est produit en même temps que l'utilisation de Cobalt Strike Beacons au sein de l'infrastructure vitale. Les chercheurs ont déterminé que cet incident s'est produit fin mars 2023. Pendant ce temps, on pense que l'opération d'attaque en était à ses débuts, se concentrant sur le profilage du système et la mise en place d'un réseau proxy utilisant le protocole SOCKS5 pour faciliter la communication avec le Commandement. -et-Contrôle (C2) infrastructure.

Les créateurs de DroxiDat ont utilisé le logiciel malveillant SystemBC comme base

SystemBC est un logiciel malveillant de base et un outil d'administration à distance codé en C/C++. La menace a fait surface pour la première fois en 2019. Sa fonction principale consiste à établir des proxys SOCKS5 sur des machines compromises. Ces proxys servent de conduits pour le faux trafic lié à d'autres formes de logiciels malveillants. Les itérations récentes de ce logiciel malveillant particulier ont étendu les capacités, permettant la récupération et l'exécution de charges utiles de menace supplémentaires.

Le déploiement historique de SystemBC en tant que conduit pour les attaques de rançongiciels a été bien documenté. En décembre 2020, des chercheurs ont dévoilé des exemples d'opérateurs de ransomwares recourant au SystemBC en tant que porte dérobée basée sur Tor facilement disponible pour implémenter les infections Ryuk et Egregor Ransomware .

L'attrait de SystemBC réside dans son efficacité au sein de telles opérations, permettant un engagement simultané avec plusieurs cibles grâce à des procédures automatisées. Ceci, à son tour, facilite le déploiement de rançongiciels via des outils Windows natifs, si les attaquants parviennent à obtenir les informations d'identification appropriées.

DroxiDat peut être utilisé comme précurseur d'attaques de ransomwares

Les connexions de DroxiDat au déploiement de rançongiciels proviennent d'un événement lié à la santé dans lequel DroxiDat était impliqué. Cet événement s'est déroulé au cours d'une période similaire au cours de laquelle le Nokoyawa Ransomware aurait été distribué conjointement avec Cobalt Strike.

Le logiciel malveillant utilisé dans cette attaque possède une nature simplifiée et efficace contrairement au SystemBC d'origine. Ses développeurs ont supprimé ses fonctionnalités, supprimant la plupart des fonctionnalités trouvées dans SystemBC, pour spécialiser sa fonction en tant que profileur de système de base. Son rôle consiste à extraire des informations et à les transmettre à un serveur distant.

En conséquence, DroxiDat n'a pas la capacité de télécharger et d'exécuter des charges utiles de logiciels malveillants supplémentaires. Cependant, il peut établir des liens avec des auditeurs distants, facilitant le transfert de données bidirectionnel, et est capable de manipuler le registre système de l'appareil infecté.

L'identification des acteurs de la menace responsables des attaques reste inconnue. Néanmoins, les indications existantes suggèrent fortement l'implication potentielle de groupes de hackers russes, en particulier FIN12 (également connu sous le nom de Pistachio Tempest). Ce groupe est connu pour avoir déployé SystemBC aux côtés de Cobalt Strike Beacons dans le cadre de leur stratégie de diffusion de ransomwares.