DroxiDat-Malware

Ein nicht identifizierter Betrugsakteur wurde mit einem Cyberangriff auf ein Energieerzeugungsunternehmen im südlichen Afrika in Verbindung gebracht. Der Angriff nutzte eine neuartige Malware-Bedrohung namens DroxiDat. Es wurde bestätigt, dass es sich bei der Malware um eine neuere Version des zuvor entdeckten SystemBC handelt und sie vermutlich als Vorstufe für einen erwarteten Ransomware-Angriff eingesetzt wird.

Der Einsatz von DroxiDat, einer mit Proxy-Funktionen ausgestatteten Hintertür, erfolgte gleichzeitig mit der Nutzung von Cobalt Strike Beacons innerhalb der lebenswichtigen Infrastruktur. Forscher haben festgestellt, dass sich dieser Vorfall Ende März 2023 ereignete. Es wird angenommen, dass sich die Angriffsoperation zu diesem Zeitpunkt noch in einem frühen Stadium befand und sich auf die Systemprofilierung und den Aufbau eines Proxy-Netzwerks unter Verwendung des SOCKS5-Protokolls konzentrierte, um die Kommunikation mit dem Kommando zu erleichtern -and-Control (C2)-Infrastruktur.

Die Entwickler von DroxiDat nutzten die SystemBC-Malware als Grundlage

SystemBC ist eine in C/C++ codierte Standard-Malware und ein Remote-Verwaltungstool. Die Bedrohung tauchte erstmals im Jahr 2019 auf. Ihre Hauptfunktion besteht darin, SOCKS5-Proxys auf kompromittierten Maschinen einzurichten. Diese Proxys dienen als Kanäle für gefälschten Datenverkehr, der mit anderen Formen von Malware verknüpft ist. Jüngste Versionen dieser speziellen Malware verfügen über erweiterte Fähigkeiten und ermöglichen das Abrufen und Ausführen zusätzlicher Bedrohungsnutzlasten.

Der historische Einsatz von SystemBC als Kanal für Ransomware-Angriffe ist gut dokumentiert. Im Dezember 2020 enthüllten Forscher Fälle von Ransomware-Betreibern, die SystemBC als leicht verfügbare Tor-basierte Hintertür zur Implementierung von Ryuk- und Egregor-Ransomware- Infektionen nutzten.

Der Reiz von SystemBC liegt in seiner Effektivität bei solchen Operationen, die den gleichzeitigen Angriff auf mehrere Ziele durch automatisierte Verfahren ermöglichen. Dies wiederum erleichtert die Bereitstellung von Ransomware über native Windows-Tools, falls es den Angreifern gelingt, an die entsprechenden Anmeldeinformationen zu gelangen.

DroxiDat kann als Vorläufer von Ransomware-Angriffen verwendet werden

Die Verbindungen von DroxiDat zum Einsatz von Ransomware gehen auf einen Vorfall im Gesundheitswesen zurück, an dem DroxiDat beteiligt war. Dieses Ereignis ereignete sich in einem ähnlichen Zeitraum, in dem die Nokoyawa-Ransomware vermutlich in Verbindung mit Cobalt Strike verbreitet wurde.

Die bei diesem Angriff verwendete Malware ist im Gegensatz zum ursprünglichen SystemBC schlanker und effizienter. Seine Entwickler haben seine Funktionalität reduziert und die meisten in SystemBC enthaltenen Funktionen verloren, um seine Funktion als grundlegender Systemprofiler zu spezialisieren. Seine Aufgabe besteht darin, Informationen zu extrahieren und an einen Remote-Server zu übertragen.

Daher ist DroxiDat nicht in der Lage, zusätzliche Malware-Payloads herunterzuladen und auszuführen. Es kann jedoch Verbindungen zu Remote-Listenern herstellen, was die bidirektionale Datenübertragung erleichtert, und ist in der Lage, die Systemregistrierung des infizierten Geräts zu manipulieren.

Die Identifizierung der für die Angriffe verantwortlichen Bedrohungsakteure bleibt unbekannt. Dennoch deuten die vorliegenden Hinweise stark auf eine mögliche Beteiligung russischer Hackergruppen, insbesondere FIN12 (auch bekannt als Pistachio Tempest), hin. Diese Gruppe ist dafür bekannt, SystemBC zusammen mit Cobalt Strike Beacons als Teil ihrer Strategie zur Verbreitung von Ransomware einzusetzen.