Các chuyên gia bảo mật mạng từ Securelist đã xác định một cuộc tấn công mạng vào một công ty sản xuất điện ở Nam Phi. Kẻ tấn công sử dụng một biến thể mới của phần mềm độc hại SystemBC, được đặt tên là DroxiDot, kết hợp với beacon của CobaltStrike. Biến thể này rõ ràng khác biệt so với phiên bản tham gia vào cuộc tấn công mạng vào Colonial Pipeline tại Mỹ năm 2021.
DroxiDot được mô tả như một payload nhỏ gọn 8kb, chủ yếu hoạt động như một trình tạo hồ sơ hệ thống. Nó thiết lập các proxy SOCKS5 trên các máy tính bị xâm nhập, cho phép kẻ tấn công điều hướng lưu lượng mạng độc hại. Phần mềm độc hại này có thể trích xuất tên người dùng, địa chỉ IP và tên máy, mã hóa dữ liệu này và gửi nó đến máy chủ lệnh và kiểm soát (C2) của kẻ tấn công. Khác với các phiên bản SystemBC khác, DroxiDot thiếu nhiều chức năng, chẳng hạn như khả năng tải về hoặc thực thi. Nhiệm vụ chính của nó là tạo hồ sơ hệ thống và gửi thông tin đến máy chủ từ xa.
Thú vị là, DroxiDot có thể nhắm vào nhiều thiết bị cùng một lúc bằng cách tự động hóa các tác vụ. Nếu kẻ tấn công có thông tin xác thực hợp lệ, họ có thể triển khai ransomware sử dụng công cụ Windows tích hợp mà không cần can thiệp thủ công.
Hạ tầng C2 của kẻ tấn công được liên kết với một miền tập trung vào năng lượng, “powersupportplancom”, có kết nối đến một máy chủ IP đáng ngờ được cho là đã sử dụng trong các hoạt động đe dọa lâu dài nâng cao (APT). Ngoài ra, DroxiDot đã bị liên quan đến một sự cố liên quan đến y tế khi nó giao ransomware Nokoyawa.
Bằng chứng cho thấy sự tham gia của một nhóm ransomware Nga, có thể là FIN12, nổi tiếng vì đã sử dụng SystemBC với Cobalt Strike Beacons trong các cuộc tấn công ransomware trước đó vào các cơ sở y tế năm 2022.
Source: HackRead
Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.