- Siber güvenlik araştırmacıları, Güney Afrikalı elektrik üretim şirketini hedef alan siber saldırıyı ortaya çıkardı.
- Saldırganlar, CobaltStrike işaretleri ile DroxiDot adlı SystemBC kötü amaçlı yazılımının yeni türevini dağıtır.
- Saldırının, Mart 2023’te meydana gelen bir fidye yazılımı saldırısının ilk aşaması olabileceği yönünde spekülasyonlar.
- DroxiDot varyantı, kompakt bir 8 kb yüktür, sistem profili oluşturucu olarak hizmet eder ve hedef bilgisayarlarda SOCKS5 proxy’leri kurar.
- Saldırganın enerji odaklı etki alanına bağlı C2 altyapısı, potansiyel olarak Rus fidye yazılımı grubu FIN12’ye bağlı.
Securelist’teki siber güvenlik araştırmacıları, Güney Afrika’da enerji üreten bir firmaya karşı bir siber saldırı keşfettiler. Bildirildiğine göre, firma SystemBC kötü amaçlı yazılımının yeni bir çeşidi ile hedef alındı ve saldırıyı henüz kimliği belirlenemeyen bir bilgisayar korsanlığı grubu gerçekleştirdi.
Önemli bir Amerikan petrol boru hattı sistemi olan Colonial Pipeline’a yönelik 2021 siber saldırısında da SystemBC’nin bir varyantının tespit edildiğini belirtmekte fayda var. Ancak son saldırıda saldırganlar, CobaltStrike işaretleri ile proxy özellikli arka kapıyı konuşlandırdı.
Securelist’e göre, yeni SystemBC kötü amaçlı yazılım çeşidinin adı DroxiDat. Saldırganlar, sistemleri tehlikeye atmak ve elektrik jeneratörüne uzaktan erişmek için bu araçları kullandı. Ancak araştırmacılar, Mart 2023’ün üçüncü veya dördüncü haftasında gerçekleşen “bir fidye yazılımı saldırısının başlangıç aşaması” olabileceğini düşünüyor.
Bilginiz olsun, SystemBC yükü, 2018’den beri darknet forumlarında bulunan “değişen, kötü amaçlı” bir hizmet olarak kötü amaçlı yazılım arka kapısıdır. İlk olarak 2019’da gözlemlenen C/C++ tabanlı ticari bir kötü amaçlı yazılımdır.
“Bu platform üç ayrı bölümden oluşuyor: sunucu tarafında, yönetici panelli bir C2 web sunucusu ve bir C2 proxy dinleyicisi; Securelist’in raporu, hedef tarafta bir arka kapı yükü olduğunu ortaya çıkardı.
Daha önce tespit edilen ve yaklaşık 15-30kb+ olan SystemBC değişkenleriyle karşılaştırıldığında DroxiDot, sistem profili oluşturucu olarak hizmet veren kompakt, 8kb’lik bir değişkendir ve ana görevi, saldırganların kötü niyetli trafiği tünelleyebilmesi için hedef bilgisayarlarda SOCKS5 proxy’leri kurmaktır.
Kötü amaçlı yazılım ayrıca etkin bir cihazdan kullanıcı adlarını, IP adreslerini ve makine adlarını alabilir, verileri şifreler ve saldırganın C2 sunucusuna aktarır. Bu değişken, SystemBC’nin birçok işlevini içermez ve bilgileri uzak bir sunucuya sızdırmak için bir sistem profil oluşturucu görevi görür.
Ancak, indirme veya yürütme özelliklerine sahip değildir ve yalnızca “uzak dinleyicilerle bağlantı kurabilir, verileri ileri geri iletebilir ve sistem kayıt defterini değiştirebilir.”
Ancak bu varyant, saldırganların görevleri otomatikleştirerek aynı anda birden fazla cihazı hedeflemesine olanak tanır. Kimlik bilgileri yasalsa, işlemi manuel olarak kontrol etmeden yerleşik Windows araçlarını kullanarak fidye yazılımı bile dağıtabilirler.
Saldırganın C2 altyapısı, şüpheli bir IP ana bilgisayarına çözümlenen, enerji yönelimli bir “powersupportplancom” etki alanı içeriyordu. Araştırmacılar, bu ana bilgisayarın daha önce saldırının potansiyelini artırmak için bir APT etkinliğinde kullanıldığına inanıyor.
Ayrıca araştırmacılar, DroxiDot’un Nokoyawa fidye yazılımını dağıttığı sırada sağlıkla ilgili başka bir olayda kullanıldığını keşfetti.
Saldırganlarla ilgili olarak araştırmacılar, kanıtların bir Rus fidye yazılımı grubunun, muhtemelen FIN12’nin (Pistachio Tempest olarak da bilinir) işin içinde olduğunu gösterdiğini iddia ediyor. Bu grup, 2022’de sağlık tesislerine karşı fidye yazılımı saldırıları başlatmak için Cobalt Strike Beacons ile SystemBC’yi konuşlandırmasıyla tanınır.
İLGİLİ MAKALELER
- Clipper Kötü Amaçlı Yazılımını Dağıtan Sahte Tor Tarayıcı Yükleyicileri
- Sahte Windows Güncellemelerinde Big Head Fidye Yazılımı Bulundu
- SmugX: Çinli Bilgisayar Korsanları Avrupa’daki Büyükelçilikleri Hedefliyor
- Truva atı haline getirilmiş TeamViewer ile elçilikleri hedefleyen bilgisayar korsanları
- Siber Partizanlar fidye yazılımıyla Beyaz Rusya demiryolu sistemini vurdu
- Yeni kötü amaçlı yazılım, ücretsiz VPN, korsan güvenlik yazılımının arkasına saklanıyor