Experts en ciberseguretat de Securelist han identificat un ciberatac a una companyia generadora d’energia sud-africana. Els atacants van utilitzar una nova variant del malware SystemBC, anomenada DroxiDot, combinada amb balises CobaltStrike. Aquesta variant és notablement diferent de la que va estar involucrada en el ciberatac de 2021 al Colonial Pipeline als EUA.
DroxiDot es descriu com una càrrega útil compacta de 8kb, que funciona principalment com un perfilador de sistemes. Estableix proxies SOCKS5 en ordinadors compromesos, permetent als atacants canalitzar tràfic maliciós. El malware pot extreure noms d’usuari, adreces IP i noms de màquines, xifrar aquestes dades i enviar-les al servidor de comanda i control (C2) de l’atacant. A diferència d’altres versions de SystemBC, DroxiDot no disposa de moltes funcionalitats, com ara capacitats de descàrrega o execució. El seu paper principal és perfilar sistemes i enviar informació a servidors remots.
Curiosament, DroxiDot pot atacar múltiples dispositius simultàniament automatitzant tasques. Si els atacants tenen credencials vàlides, poden desplegar ransomware utilitzant eines integrades de Windows sense intervenció manual.
La infraestructura C2 de l’atacant va estar vinculada a un domini enfocat en energia, “powersupportplancom”, que tenia connexions amb un host IP sospitós que es creu que ha estat utilitzat en activitats de amenaça persistent avançada (APT). Addicionalment, DroxiDot va estar implicat en un incident relacionat amb la salut on va lliurar el ransomware Nokoyawa.
Les evidències apunten cap a la participació d’un grup de ransomware rus, possiblement FIN12, conegut per utilitzar SystemBC amb balises Cobalt Strike en atacs anteriors de ransomware a instal·lacions sanitàries el 2022.
Source: HackRead
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.