Malware DroxiDat
Un actor no identificado relacionado con el fraude ha sido asociado con un ataque cibernético en una empresa de generación de energía ubicada en el sur de África. El ataque utilizó una nueva amenaza de malware rastreada como DroxiDat. Se confirma que el malware es una iteración más reciente de SystemBC descubierto anteriormente y presumiblemente se implementa como un paso preliminar para un ataque de ransomware anticipado.
El despliegue de DroxiDat, una puerta trasera equipada con capacidades de proxy, ocurrió simultáneamente con la utilización de Cobalt Strike Beacons dentro de la infraestructura vital. Los investigadores determinaron que este incidente ocurrió a fines de marzo de 2023. Durante este tiempo, se cree que la operación de ataque estaba en sus primeras fases, enfocándose en la creación de perfiles del sistema y el establecimiento de una red proxy utilizando el protocolo SOCKS5 para facilitar la comunicación con el Comando. Infraestructura de control y control (C2).
Los creadores de DroxiDat utilizaron el malware SystemBC como base
SystemBC es un malware básico y una herramienta administrativa remota codificada en C/C++. La amenaza apareció inicialmente en 2019. Su función principal consiste en establecer proxies SOCKS5 en máquinas comprometidas. Estos proxies sirven como conductos para el tráfico falso vinculado a otras formas de malware. Las iteraciones recientes de este malware en particular han ampliado las capacidades, lo que permite la recuperación y ejecución de cargas útiles de amenazas adicionales.
El despliegue histórico de SystemBC como conducto para ataques de ransomware ha sido bien documentado. En diciembre de 2020, los investigadores dieron a conocer instancias de operadores de ransomware que recurrían a SystemBC como una puerta trasera basada en Tor fácilmente disponible para implementar infecciones de Ryuk y Egregor Ransomware .
El atractivo de SystemBC radica en su eficacia dentro de tales operaciones, lo que permite el compromiso simultáneo con múltiples objetivos a través de procedimientos automatizados. Esto, a su vez, facilita la implementación de ransomware a través de herramientas nativas de Windows, en caso de que los atacantes logren obtener las credenciales adecuadas.
DroxiDat puede utilizarse como precursor de ataques de ransomware
Las conexiones de DroxiDat con el despliegue de ransomware se originan a partir de un incidente relacionado con la atención médica en el que estuvo involucrado DroxiDat. Este evento se desarrolló durante un período de tiempo similar en el que se cree que Nokoyawa Ransomware se distribuyó junto con Cobalt Strike.
El malware utilizado en este ataque posee una naturaleza simplificada y eficiente en contraste con el SystemBC original. Sus desarrolladores han reducido su funcionalidad, eliminando la mayoría de las funciones que se encuentran en SystemBC, para especializar su función como perfilador básico del sistema. Su función consiste en extraer información y transmitirla a un servidor remoto.
Como resultado, DroxiDat carece de la capacidad de descargar y ejecutar cargas de malware adicionales. Sin embargo, puede establecer enlaces con oyentes remotos, lo que facilita la transferencia bidireccional de datos, y es capaz de manipular el registro del sistema del dispositivo infectado.
Se desconoce la identificación de los actores de amenazas responsables de los ataques. No obstante, las indicaciones existentes sugieren fuertemente la participación potencial de grupos de piratas informáticos rusos, particularmente FIN12 (también conocido como Pistachio Tempest). Este grupo es conocido por implementar SystemBC junto con Cobalt Strike Beacons como parte de su estrategia para distribuir ransomware.
