Gli esperti di cybersecurity di Securelist hanno identificato un cyberattacco su una compagnia generatrice di energia sudafricana. Gli aggressori hanno utilizzato una nuova variante del malware SystemBC, chiamata DroxiDot, combinata con i beacon di CobaltStrike. Questa variante è notevolmente diversa da quella coinvolta nell’attacco informatico del 2021 al Colonial Pipeline negli Stati Uniti.
DroxiDot viene descritto come un payload compatto di 8kb, che funziona principalmente come un profiler di sistema. Stabilisce proxy SOCKS5 sui computer compromessi, permettendo agli aggressori di incanalare traffico malevolo. Il malware può estrarre nomi utente, indirizzi IP e nomi di macchine, criptare questi dati e inviarli al server di comando e controllo (C2) dell’attaccante. A differenza di altre versioni di SystemBC, DroxiDot non ha molte funzionalità, come capacità di download o esecuzione. Il suo ruolo principale è profilare i sistemi e inviare informazioni ai server remoti.
Interessantemente, DroxiDot può prendere di mira più dispositivi simultaneamente automatizzando compiti. Se gli aggressori hanno credenziali valide, possono distribuire ransomware utilizzando strumenti Windows integrati senza intervento manuale.
L’infrastruttura C2 dell’attaccante è stata collegata a un dominio focalizzato sull’energia, “powersupportplancom”, che aveva collegamenti con un host IP sospetto ritenuto essere stato utilizzato in attività di minacce persistenti avanzate (APT). Inoltre, DroxiDot è stato coinvolto in un incidente legato alla sanità in cui ha consegnato il ransomware Nokoyawa.
Le prove indicano il coinvolgimento di un gruppo di ransomware russo, possibilmente FIN12, noto per aver utilizzato SystemBC con i beacon di Cobalt Strike in precedenti attacchi di ransomware a strutture sanitarie nel 2022.
Source: HackRead
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.