Expertos en ciberseguridad de Securelist han identificado un ciberataque a una compañía generadora de energía sudafricana. Los atacantes utilizaron una nueva variante del malware SystemBC, llamada DroxiDot, combinada con balizas CobaltStrike. Esta variante es notablemente distinta de la involucrada en el ciberataque de 2021 al Colonial Pipeline en EE.UU.
DroxiDot se describe como una carga útil compacta de 8kb, que funciona principalmente como un perfilador de sistemas. Establece proxies SOCKS5 en computadoras comprometidas, permitiendo a los atacantes canalizar tráfico malicioso. El malware puede extraer nombres de usuario, direcciones IP y nombres de máquinas, cifrar estos datos y enviarlos al servidor de comando y control (C2) del atacante. A diferencia de otras versiones de SystemBC, DroxiDot carece de muchas funcionalidades, como capacidades de descarga o ejecución. Su papel principal es perfilar sistemas y enviar información a servidores remotos.
Interesantemente, DroxiDot puede atacar múltiples dispositivos simultáneamente automatizando tareas. Si los atacantes tienen credenciales válidas, pueden desplegar ransomware utilizando herramientas integradas de Windows sin intervención manual.
La infraestructura C2 del atacante estuvo vinculada a un dominio enfocado en energía, “powersupportplancom”, que tenía conexiones con un host IP sospechoso que se cree ha sido utilizado en actividades de amenaza persistente avanzada (APT). Adicionalmente, DroxiDot fue implicado en un incidente relacionado con la salud donde entregó el ransomware Nokoyawa.
Las evidencias apuntan hacia la participación de un grupo de ransomware ruso, posiblemente FIN12, conocido por usar SystemBC con balizas Cobalt Strike en ataques previos de ransomware a instalaciones de salud en 2022.
Source: HackRead
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.