Новости Загадочная кибератака в Южной Африке: новая киберугроза DroxiDat открывает путь в сети жертв

NewsMaker

I'm just a script
Премиум
13,849
20
8 Ноя 2022
Специалисты ожидают более крупную атаку, которая раскроет причину внедрения в африканские сети.


qtcux5180hzpzalv25zc2ul2z4hyjtzb.jpg


Неизвестные хакеры осуществили атаку на энергетическую компанию в Южной Африке, используя новейший вариант вредоносного ПО SystemBC под названием DroxiDat. Эксперты Kaspersky GReAT предполагают, что взлом может быть подготовительным этапом к атаке с использованием программы-вымогателя.

По Для просмотра ссылки Войди или Зарегистрируйся специалистов Kaspersky GReAT, атака, случившаяся в конце марта 2023 года, была на начальной стадии. В рамках атаки DroxiDat использовался для анализа системы и проксирования сетевого трафика с помощью протокола SOCKS5 для управления и контроля (Command and Control, C2).

SystemBC — это вредоносное ПО, созданное на C/C++. SystemBC впервые было замечено в 2019 году и служит для установки прокси-серверов на компьютерах жертв. Прокси позволяют хакерам маскировать свои действия.

По данным Лаборатории Касперского, DroxiDat связан с инцидентами в сфере здравоохранения, где вымогательское ПО Nokoyawa было использовано вместе с Cobalt Strike . Вредонос намного проще SystemBC – он способен только собирать информацию о системе и отправлять данные на удаленный сервер, а также изменять реестр. DroxiDat не способен устанавливать дополнительные полезные нагрузки.

Программа-вымогатель Nokoyawa появилась в феврале 2022 года как штамм, способный атаковать 64-разрядные системы на базе Windows в атаках с двойным вымогательством, когда злоумышленники также крадут конфиденциальные файлы из скомпрометированных сетей и угрожают выложить их в сеть, если не будет выплачен выкуп.

Стоит отметить, что SystemBC и Cobalt Strike уже Для просмотра ссылки Войди или Зарегистрируйся на медицинские и финансовые организации в США, Великобритании и Австралии. Субъект угрозы продемонстрировал стремительное поведение, быстро направившись к зараженной сети и получив повышенные привилегии менее чем за 4 часа.
 
Источник новости
www.securitylab.ru

Похожие темы