Специалисты ожидают более крупную атаку, которая раскроет причину внедрения в африканские сети.
Неизвестные хакеры осуществили атаку на энергетическую компанию в Южной Африке, используя новейший вариант вредоносного ПО SystemBC под названием DroxiDat. Эксперты Kaspersky GReAT предполагают, что взлом может быть подготовительным этапом к атаке с использованием программы-вымогателя.
По словам специалистов Kaspersky GReAT, атака, случившаяся в конце марта 2023 года, была на начальной стадии. В рамках атаки DroxiDat использовался для анализа системы и проксирования сетевого трафика с помощью протокола SOCKS5 для управления и контроля (Command and Control, C2).
SystemBC — это вредоносное ПО, созданное на C/C++. SystemBC впервые было замечено в 2019 году и служит для установки прокси-серверов на компьютерах жертв. Прокси позволяют хакерам маскировать свои действия.
По данным Лаборатории Касперского, DroxiDat связан с инцидентами в сфере здравоохранения, где вымогательское ПО Nokoyawa было использовано вместе с Cobalt Strike. Вредонос намного проще SystemBC – он способен только собирать информацию о системе и отправлять данные на удаленный сервер, а также изменять реестр. DroxiDat не способен устанавливать дополнительные полезные нагрузки.
Программа-вымогатель Nokoyawa появилась в феврале 2022 года как штамм, способный атаковать 64-разрядные системы на базе Windows в атаках с двойным вымогательством, когда злоумышленники также крадут конфиденциальные файлы из скомпрометированных сетей и угрожают выложить их в сеть, если не будет выплачен выкуп.
Стоит отметить, что SystemBC и Cobalt Strike уже использовались совместно в атаках на медицинские и финансовые организации в США, Великобритании и Австралии. Субъект угрозы продемонстрировал стремительное поведение, быстро направившись к зараженной сети и получив повышенные привилегии менее чем за 4 часа.
Сбалансированная диета для серого вещества