DroxiDat и тайная война хакеров - что скрывается за кулисами битвы за контроль над энергетикой в Южной Африке?

Неизвестные хакеры осуществили атаку на энергетическую компанию в Южной Африке, используя новейший вариант вредоносного ПО SystemBC под названием DroxiDat. Эксперты Kaspersky GReAT предполагают, что взлом может быть подготовительным этапом к атаке с использованием программы-вымогателя.

По словам специалистов Kaspersky GReAT, атака, случившаяся в конце марта 2023 года, была на начальной стадии. В рамках атаки DroxiDat использовался для анализа системы и проксирования сетевого трафика с помощью протокола SOCKS5 для управления и контроля (Command and Control, C2).

SystemBC — это вредоносное ПО, созданное на C/C++. SystemBC впервые было замечено в 2019 году и служит для установки прокси-серверов на компьютерах жертв. Прокси позволяют хакерам маскировать свои действия.

По данным Лаборатории Касперского, DroxiDat связан с инцидентами в сфере здравоохранения, где вымогательское ПО Nokoyawa было использовано вместе с Cobalt Strike . Вредонос намного проще SystemBC – он способен только собирать информацию о системе и отправлять данные на удаленный сервер, а также изменять реестр. DroxiDat не способен устанавливать дополнительные полезные нагрузки.

Программа-вымогатель Nokoyawa появилась в феврале 2022 года как штамм, способный атаковать 64-разрядные системы на базе Windows в атаках с двойным вымогательством, когда злоумышленники также крадут конфиденциальные файлы из скомпрометированных сетей и угрожают выложить их в сеть, если не будет выплачен выкуп.

Стоит отметить, что SystemBC и Cobalt Strike уже использовались совместно в атаках на медицинские и финансовые организации в США, Великобритании и Австралии. Субъект угрозы продемонстрировал стремительное поведение, быстро направившись к зараженной сети и получив повышенные привилегии менее чем за 4 часа.