Эксперты по кибербезопасности из Securelist выявили кибератаку на южноафриканскую энергогенерирующую компанию. Нападавшие использовали новый вариант вредоносного программного обеспечения SystemBC, названный DroxiDot, в сочетании с маяками CobaltStrike. Этот вариант заметно отличается от того, который был задействован в кибератаке на Colonial Pipeline в США в 2021 году.
DroxiDot описывается как компактная полезная нагрузка размером 8 кб, функционирующая в основном как профилировщик системы. Он устанавливает прокси SOCKS5 на скомпрометированных компьютерах, позволяя атакующим канализировать вредоносный трафик. Вредоносное ПО может извлекать имена пользователей, IP-адреса и имена компьютеров, шифровать эти данные и отправлять их на сервер команд и управления (C2) атакующего. В отличие от других версий SystemBC, DroxiDot не имеет многих функций, таких как возможности загрузки или выполнения. Его основная роль – профилирование систем и отправка информации на удаленные серверы.
Интересно, что DroxiDot может нацелиться сразу на несколько устройств, автоматизируя задачи. Если у нападающих есть действующие учетные данные, они могут развертывать вымогательское ПО, используя встроенные инструменты Windows, без ручного вмешательства.
Инфраструктура C2 нападающего была связана с доменом, ориентированным на энергетику, “powersupportplancom”, у которого были связи с подозрительным IP-хостом, который, как полагают, использовался в действиях продвинутой устойчивой угрозы (APT). Кроме того, DroxiDot был замешан в инциденте, связанном со здравоохранением, где он доставил вымогательское ПО Nokoyawa.
Доказательства указывают на участие российской группы по вымогательскому ПО, возможно, FIN12, известной использованием SystemBC с маяками Cobalt Strike в предыдущих атаках на медицинские учреждения в 2022 году.
Source: HackRead
Чтобы смягчить потенциальные угрозы, важно реализовать дополнительные меры по обеспечению кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сами, используя check.website.