Bilinmeyen bir tehdit aktörü, Güney Afrika’daki bir enerji üretim şirketine yönelik bir siber saldırıyla SystemBC kötü amaçlı yazılımının yeni bir çeşidiyle ilişkilendirildi. DroxiDat şüpheli bir fidye yazılımı saldırısının habercisi olarak.
Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) baş güvenlik araştırmacısı Kurt Baumgartner, “Proxy özellikli arka kapı, bir Güney Afrika ülkesinin kritik altyapısında Kobalt Strike Beacons ile birlikte konuşlandırıldı.” dedi.
Rus siber güvenlik şirketi, Mart 2023’ün sonlarında gerçekleşen saldırının ilk aşamalarında olduğunu ve komut ve kontrole (C2) SOCKS5 protokolünü kullanarak sistem ve proxy ağ trafiğini profillemek için DroxiDat’ın kullanıldığını söyledi. altyapı.
SystemBC, ilk olarak 2019’da görülen, C/C++ tabanlı ticari bir kötü amaçlı yazılım ve uzaktan yönetim aracıdır. Ana özelliği, daha sonra tehdit aktörleri tarafından diğer kötü amaçlı yazılımlarla ilişkili kötü amaçlı trafiği tünellemek için kullanılabilecek kurban bilgisayarlarda SOCKS5 proxy’leri kurmaktır. Kötü amaçlı yazılımın daha yeni çeşitleri ayrıca ek yükler indirebilir ve çalıştırabilir.
SystemBC’nin fidye yazılımı saldırıları için bir kanal olarak kullanılması geçmişte belgelenmiştir. Aralık 2020’de Sophos, fidye yazılımı operatörlerinin Ryuk ve Egregor enfeksiyonları için kullanıma hazır bir Tor arka kapısı olarak SystemBC RAT’a güvendiklerini ortaya çıkardı.
“SystemBC, bu tür operasyonlarda çekici bir araçtır çünkü birden çok hedefin aynı anda otomatik görevlerle çalışmasına izin verir ve saldırganlar uygun kimlik bilgilerini elde ederse, Windows yerleşik araçlarını kullanarak fidye yazılımının uygulamalı olarak konuşlandırılmasına izin verir. “Şirket o sırada söyledi.
DroxiDat’ın fidye yazılımı dağıtımına olan bağlantıları, Nokoyawa fidye yazılımının Cobalt Strike ile birlikte teslim edildiği söylenen yaklaşık aynı zaman diliminde DroxiDat’ın karıştığı sağlıkla ilgili bir olaydan kaynaklanmaktadır.
Saldırıda kullanılan kötü amaçlı yazılım, SystemBC ile karşılaştırıldığında hem kompakt hem de yalındır ve basit bir sistem profil oluşturucu olarak hareket etmek ve bilgileri uzak bir sunucuya sızdırmak için ikincisi ile ilişkili işlevlerin çoğundan sıyrılmıştır.
Baumgartner, “İndir ve çalıştır özelliği sağlamaz, ancak uzak dinleyicilerle bağlantı kurabilir ve verileri ileri geri iletebilir ve sistem kayıt defterini değiştirebilir” dedi.
Saldırı dalgasının arkasındaki tehdit aktörlerinin kimliği şu anda bilinmiyor, ancak mevcut kanıtlar Rus fidye yazılımı gruplarının, özellikle fidye yazılımı dağıtmak için Cobalt Strike Beacons ile birlikte SystemBC’yi kullandığı bilinen FIN12’nin (diğer adıyla Pistachio Tempest) olası müdahalesine işaret ediyor.
Dragos’a göre bu gelişme, endüstriyel kuruluşları ve altyapıyı hedef alan fidye yazılımı saldırılarının sayısının 2022’nin ikinci çeyreğinden bu yana ikiye katlanarak 2022’nin 2. çeyreğinde 125’ten 2023’ün 2. çeyreğinde 253’e çıkmasıyla geldi. Rakam ayrıca, 214 olayın tespit edildiği önceki çeyreğe göre %18’lik bir artış.
“Fidye yazılımı, operasyonel teknolojinin (OT) öldürme süreçlerinin fidye yazılımı türlerine entegrasyonu, fidye yazılımının OT ortamlarına yayılmasına izin veren düzleştirilmiş ağlar veya fidye yazılımının endüstriyel kontrole yayılmasını önlemek için operatörler tarafından üretimin ihtiyati olarak kapatılması yoluyla endüstriyel operasyonları kesintiye uğratmaya devam edecek. sistemleri,” şirket yüksek bir güvenle değerlendirdi.