DroxiDat マルウェア

身元不明の詐欺関連の攻撃者が、アフリカ南部にある発電会社に対するサイバー攻撃に関与していることが明らかになりました。この攻撃では、DroxiDat として追跡される新たなマルウェア脅威が利用されました。このマルウェアは、以前に発見されたSystemBCの新しい反復であることが確認されており、おそらく予想されるランサムウェア攻撃の前段階として展開されます。

プロキシ機能を備えたバックドアである DroxiDat の導入は、重要なインフラストラクチャ内でのCobalt Strike Beacon の利用と同時に行われました。研究者らは、この事件は2023年3月下旬に発生したと判断した。この期間中、攻撃作戦は初期段階にあり、システムプロファイリングと、司令部との通信を容易にするSOCKS5プロトコルを利用したプロキシネットワークの確立に重点を置いていたと考えられている。 -and-Control (C2) インフラストラクチャ。

DroxiDat の作成者は SystemBC マルウェアをベースとして使用しました

SystemBC は、C/C++ でコーディングされた汎用マルウェアおよびリモート管理ツールです。この脅威は 2019 年に初めて表面化しました。その主な機能には、侵害されたマシン上で SOCKS5 プロキシを確立することが含まれます。これらのプロキシは、他の形式のマルウェアにリンクされた偽のトラフィックの経路として機能します。この特定のマルウェアの最近の反復では機能が拡張され、追加の脅威ペイロードの取得と実行が可能になりました。

ランサムウェア攻撃の経路としての SystemBC の導入の歴史は十分に文書化されています。 2020 年 12 月、研究者らは、 RyukおよびEgregor ランサムウェア感染を実装するために、すぐに利用できる Tor ベースのバックドアとして SystemBC に頼っているランサムウェア オペレーターの事例を発表しました。

SystemBC の魅力は、自動化された手順を通じて複数のターゲットとの同時関与を可能にする、このような作戦における有効性にあります。これにより、攻撃者が適切な資格情報を取得できた場合、ネイティブ Windows ツールを介したランサムウェアの展開が容易になります。

DroxiDat はランサムウェア攻撃の前兆として使用される可能性がある

DroxiDat とランサムウェアの展開との関係は、DroxiDat が関与した医療関連の出来事に端を発しています。このイベントは、 Nokoyawa ランサムウェアがCobalt Strike に関連して配布されたと考えられる同様の期間中に発生しました。

この攻撃で利用されたマルウェアは、元の SystemBC とは対照的に、合理化された効率的な性質を持っています。開発者は、基本的なシステム プロファイラーとしての機能に特化するために、SystemBC にある機能のほとんどを取り除き、その機能を削減しました。その役割には、情報を抽出してリモート サーバーに送信することが含まれます。

その結果、DroxiDat には追加のマルウェア ペイロードをダウンロードして実行する機能がありません。ただし、リモート リスナーとのリンクを確立して双方向のデータ転送を促進し、感染したデバイスのシステム レジストリを操作することができます。

攻撃を実行した攻撃者の特定は依然として不明です。それにもかかわらず、既存の兆候は、ロシアのハッカーグループ、特に FIN12 (ピスタチオ テンペストとしても知られる) の潜在的な関与を強く示唆しています。このグループは、ランサムウェア配信戦略の一環として、Cobalt Strike Beacon と並行して SystemBC を導入していることで知られています。