SystemBC kötü amaçlı yazılımının yeni bir türünün kritik bir altyapı hedefine konuşlandırıldığı bulundu. Bu kötü amaçlı yazılım, 2021’deki DarkSide Colonial Pipeline Olayından sorumluydu. 2023’ün ikinci çeyreğinde çok sayıda Fidye yazılımı saldırısı gerçekleşti.
Tehdit aktörleri, fidye yazılımı saldırılarıyla çeşitli kuruluşları ve altyapıları hedef alır. Ancak yalnızca birkaç fidye yazılımı saldırısı elektrik tesislerini hedef aldı.
Hedeflerin %56’sından fazlası, Operasyonel Teknoloji (OT) Ortamlarında özel bilgi kaybı veya bir kesinti ile karşı karşıya kaldıklarını bildirdi.
Buna ek olarak, yakın tarihli raporlar, SystemBC yükünün yeni çeşidi olduğu keşfedilen Cobalt Strike Beacon ve DroxiDat ile Güney Afrika elektrik altyapısının hedeflendiğini gösteriyor.
Bu olayın Mart 2023’ün üçüncü ve dördüncü haftasında hedef alındığı ve dünya çapında küçük bir dalga saldırısının parçası olduğu tespit edildi.
API Saldırıları %400 Arttı – API’lerinizi Pozitif Güvenlik Modeli ile Korumanın Temellerini Anlayın – Ücretsiz Web Semineri İçin Şimdi Kaydolun
Şimdi üye Ol
Teknik detaylar
SystemBC’nin mevcut varyantı, proxy özellikli bir arka kapıya sahiptir ve kötü niyetli olarak değişir. “Hizmet olarak kötü amaçlı yazılım” (MaaS) işlevi gören ve çeşitli yer altı forumlarında satılan System BC, 2018’den beri mevcuttur.
SystemBC’nin üç bölümü vardır: yönetici panelli bir C2 web sunucusu, sunucu tarafında bir C2 proxy dinleyicisi ve hedefte bir arka kapı yükü.
DroxiDat, SystemBC’nin yük bileşeni olarak işlev görür ve daha önce 15-30kb+ boyutundaydı ve şimdi ~8kb’ye sıkıştırıldı.
DroxiDat, önceki sürümlerde olduğu gibi bir indirme ve yürütme türü yükü olarak hareket etmez, ancak verileri C2 ile hedef arasında iletmek ve sistem kayıt defterini değiştirmek için uzak dinleyicilere bağlanabilir.
Birden fazla sistemde CrowdStrike Beacon ile birlikte C:\perflogs konumunda iki DroxiDat örneği bulundu.
SystemBC’nin mevcut varyantı, makine adlarını veya kullanıcı adlarını alma, ayarların şifresini çözerek C2 ile oturum oluşturma, C2 ile şifreli iletişim ve kayıt defteri anahtarları oluşturma veya silme gibi birçok önemli yeteneğe sahiptir.
Bunun Rusça konuşan bir RaaS siber suç birimi tarafından yapıldığından şüpheleniliyor. Beklenen tehdit aktörleri ayrıca Pistachio Tempest veya FIN12’yi de içerir. SystemBC’nin mevcut varyantı ve faaliyetleri hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor Securelist tarafından yayınlandı.
Uzlaşma Göstergeleri
Etki alanları ve IP
93.115.25.41
powersupportplan[.]com, 179.60.146.6
Muhtemelen ilgili
epowersoftware[.]com, 194.165.16.63
Dosya karması
Droxidat
8d582a14279920af10d37eae3ff2b705
f98b32755cbfa063a868c64bd761486f7d5240cc
a00ca18431363b32ca20bf2da33a2e2704ca40b0c56064656432afd18a62824e
CobaltStrike işaret
19567b140ae6f266bac6d1ba70459fbd
fd9016c64aea037465ce045d998c1eead3971d35
a002668f47ff6eb7dd1b327a23bafc3a04bf5208f71610960366dfc28e280fe4
Dosya yolları, ilgili nesneler
C:\perflogs\syscheck.exe
C:\perflogs\a.dll
C:\perflogs\hos.exe
C:\perflogs\host.exe
C:\perflogs\hostt.exe
C:\perflogs\svch.dll
C:\perflogs\svchoct.dll
C:\perflogs\admin\svcpost.dll
C:\perflogs\admin\syscheck.exe
C:\perflogs\sk64.dll
C:\perflogs\clinic.exe
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.