原文鏈接:Focus on DroxiDat/SystemBC
譯者:知道創宇404實驗室翻譯組
勒索軟件源起
最近,我們發布了一份報告,介紹了網絡犯罪惡意軟件集的一個有趣且常見的組件——SystemBC。與2021年Darkside Colonial Pipeline事件類似,我們發現了一個新的SystemBC變種被部署到一個關鍵基礎設施目標上。這次,可代理的后門與南非某國家的關鍵基礎設施中的Cobalt Strike信標一起被部署。
Kim Zetter在她的BlackHat 2022主題演講“Pre-Stuxnet, Post-Stuxnet: Everything Has Changed, Nothing Has Changed”中對之前的Colonial Pipeline事件進行了回顧,并稱其為“分水嶺時刻”,同時我們在世界其他地方也看到了和目標戰術上的相似之處。
關于勒索軟件攻擊的內容和趨勢分析報道已比較常見,但關于特定電力系統勒索軟件事件的技術細節卻很少被公開披露。我們知道,在全球范圍內被調查的公共事業單位發現,越來越多地以有針對性的活動方式進行報道:“56%的受訪者報告在過去12個月中至少發生過一次涉及隱私信息丟失或OT環境中斷的攻擊”。雖然并非所有活動都是由勒索軟件攻擊者造成的,但相關的勒索軟件攻擊者正在避免受到強大政府機構和聯盟的報復。無論如何,這種增加的公用事業目標攻擊事件是一個現實世界的問題,特別是對網絡中斷可能在全國范圍內影響客戶的區域,具有嚴重的潛在風險。
值得注意的是,一名不明身份的攻擊者使用Cobalt Strike信標和DroxiDat(SystemBC有效載荷的新變種)對南非一個電力公司進行了定向攻擊。該攻擊發生在2023年3月下旬,是涉及世界各地DroxiDat和CobaltStrike beacons的襲擊的一小部分事件。在這個電力公司中還檢測到了DroxiDat,它是SystemBC的一個約8kb的精簡變體,用作系統分析和簡單支持SOCKS5的bot。該電力公司的C2基礎設施涉及一個與能源相關的域名"powersupportplan.com",其已解析到一個已經可疑的IP主機。該主機在幾年前曾被用作APT活動的一部分,其增加了APT相關目標攻擊的可能性。目前勒索軟件還沒有被交付給該組織,因此我們沒有足夠的信息來對這次活動進行準確歸因。然而,同一時間范圍內的一個醫療事件中,也涉及到了DroxiDat,Nokoyawa勒索軟件被交付,另外還有其他幾起涉及CobaltStrike的事件,它們共享了相同的license_id和staging目錄及C2。
相關細節
DroxiDat/SystemBC負載組件本身是一個在不斷變化的惡意后門,在勒索軟件事件中較為常見,多個SystemBC類型的已經被公開披露。從2018年開始,SystemBC平臺就以“惡意軟件即服務”(MaaS)的形式在各種地下論壇上被出售。該平臺由三部分組成:一個帶有管理面板的C2 web服務器和一個C2代理監聽器;目標端是一個后門負載。關于更早的SystemBC變體,其研究人員指出“SystemBC在這類操作中是一種有吸引力的工具,因為它允許使用自動任務同時處理多個目標,如果攻擊者獲得適當的憑證,允許使用Windows內置工具自動部署勒索軟件。”。
與之前常見的15-30kb+的SystemBC變種相比,DroxiDat變體顯得非常緊湊。檢測到的SystemBC對象可以追溯到2018年(觀察到一個在2017年7月編譯的SystemBC可執行文件),數量已達數千個,并被一長串勒索軟件分支使用。事實上,這個DroxiDat惡意軟件變種的代碼庫中剝離了大部分以前的SystemBC負載所提供的功能,而這個DroxiDat惡意軟件變種的目的是一個簡單的系統分析器——文件名為“syscheck.exe”。它沒有下載和執行能力,但可以連接遠程監聽器,來回傳數據,并修改系統注冊表。同樣有趣的是,在這個發電機器網絡中,DroxiDat/SystemBC僅在過去與DarkSide攻擊目標類似的系統資源上被檢測到。而且,2021年,一名與Darkside有關的公司襲擊了巴西的Electrobras和Copel能源公司。在過去的Egregor和Ryuk事件中,也曾使用過將DroxiDat/SystemBC與C:\perflogs存儲和CobaltStrike可執行對象結合使用。
| MD5 | 8d582a14279920af10d37eae3ff2b705 |
|---|---|
| SHA1 | f98b32755cbfa063a868c64bd761486f7d5240cc |
| SHA256 | a00ca18431363b32ca20bf2da33a2e2704ca40b0c56064656432afd18a62824e |
| Link time | Thu, 15 Dec 2022 06:34:16 UTC |
| File type | PE32 executable (GUI) Intel 80386, for MS Windows |
| File size | 8192 bytes |
| File path | C:\perflogs\syscheck.exe |
該DroxiDat惡意軟件的兩個實例出現在多個系統的C:perflogs目錄下,與兩個Cobalt Strike Beacons一起。
這個變體提供了以下幾個功能:
- 檢索計算機名稱/用戶名、本地IP和卷序列號信息。
- 不再創建獨占使用的互斥體,而是檢查并創建一個新的線程并注冊一個窗口,類名為“Microsoft”,文本為“win32app”(包括在所有systemBC變種中)
- 簡單xor解密其C2(IP:端口)設置,并創建到遠程主機的會話。
- 對收集到的系統信息進行加密并發送到C2。
- 可能創建和刪除注冊表鍵和值。
與先前變種相比,此Windows變種缺少的功能有:
- 文件創建能力
- 文件執行的switch語句,解析硬編碼的文件擴展名(vbs、cmd、bat、exe、ps1)和代碼執行功能。
- Mini-TOR客戶端功能。
- Emisoft反惡意軟件掃描。
對象包含xor編碼的配置設置:
XOR KEY: 0xB6108A9DB511264DB3FAFDB74F3D7F22ECCFC2683755966371A3974A1EA15A074404D96B6510CEE6HOST1: 93.115.25.41HOST2: 192.168.1.28PORT1: 443
在這種情況下,它的直接C2目的地是93.115.25.41:443。直到2022年11月,該IP主機提供比特幣服務。由于上述后門程序是在12月中旬編譯的,因此所有權很可能在2022年12月發生了變更。
第二個DroxiDat可執行文件被發送到相同的系統中,并具備將可執行條目添加到"Software\Microsoft\Windows\CurrentVersion\Run"注冊表鍵中的"socks5"條目的功能。換句話說,它可以將自己添加為系統啟動時運行的可執行文件。
| 1 | powershell.exe -windowstyle hidden -Command "c:\perflogs\hos.exe" |
|---|
第三個DroxiDat對象,這次是一個dll,被發送到服務器。
| MD5 | 1957deed26c7f157cedcbdae3c565cff |
|---|---|
| SHA1 | be9e23e56c4a25a8ea453c093714eed5e36c66d0 |
| SHA256 | 926fcb9483faa39dd93c8442e43af9285844a1fbbe493f3e4731bbbaecffb732 |
| Link time | Thu, 15 Dec 2022 06:07:31 UTC |
| File type | PE32 executable (DLL) (GUI) Intel 80386, for MS Windows |
| File size | 7168 bytes |
| File path | c:\perflogs\svch.dll |
它實現了與上面的“syscheck.exe”基本相同的功能,但不能修改注冊表。它還保持相同的主機和端口值,以及40字節的密鑰。
Cobalt Strike信標檢測的基礎設施
在這些系統上也檢測到了Cobalt Strike Beacon,它們位于相同的目錄和基礎設施中。在某些情況下,Beacon與DroxiDat同時到達并被檢測到。在一些情況下,兩個信標首先到達,兩天后在同一個perflogs目錄中被檢測到,六天后又有幾個信標被檢測到。因此很有可能是同一攻擊者通過竊取的憑據或其他未知方法來保持訪問權限。
這些Beacon的基礎設施以電力系統為主題:
powersupportplan[.]com, 179.60.146.6URL: /rs.css, /skin
回調到該C2的多個Beacon包括相同的license_id值。
"license_id": "0x282d4156"
我們還發現了另一個可能偽裝成電力系統的Cobalt Strike C2服務器和Beacon集群,以及其他相關數據點: epowersoftware.com, 194.165.16.63.6”.
這個epowersoftware主機上的SSH服務器與powersupportplan.com上的SSH版本和RSA密鑰相同。此外,回調到該域的CS Beacon保持了相同的license_id,如上所示:“license_id”: “0x282d4156”。
屬性
在我們的私人報告中提到的多個事件中一致數據點,可以初步推斷此活動可能與說俄語的RaaS網絡犯罪組織相關。在這種情況下,我們可能正在面對一個名為"Pistachio Tempest"或"FIN12"的組織的活動。HHS(美國衛生與公眾服務部)在其報告中指出,該組織在2022年專門針對醫療行業進行攻擊,并經常在部署勒索軟件時使用SystemBC和Cobalt Strike Beacon:
- 2023年初,該入侵集中使用相同的perflogs暫存目錄;
- SystemBC始終與Cobalt Strike配對使用;
- Cobalt Strike主機之間共享配置文件數據;
- 在2023年初的某個醫療機構中,DroxiDat和Nokoyawa勒索軟件同時出現
IoCs
IP
- 93.115.25.41 ZoomEye搜索結果
- 179.60.146.6 ZoomEye搜索結果
- 194.165.16.63 ZoomEye搜素結果
File hash
Droxidat
8d582a14279920af10d37eae3ff2b705
f98b32755cbfa063a868c64bd761486f7d5240cc
a00ca18431363b32ca20bf2da33a2e2704ca40b0c56064656432afd18a62824e
CobaltStrike beacon
19567b140ae6f266bac6d1ba70459fbd
fd9016c64aea037465ce045d998c1eead3971d35
a002668f47ff6eb7dd1b327a23bafc3a04bf5208f71610960366dfc28e280fe4
文件路徑
C:\perflogs\syscheck.exe
C:\perflogs\a.dll
C:\perflogs\hos.exe
C:\perflogs\host.exe
C:\perflogs\hostt.exe
C:\perflogs\svch.dll
C:\perflogs\svchoct.dll
C:\perflogs\admin\svcpost.dll
C:\perflogs\admin\syscheck.exe
C:\perflogs\sk64.dll
C:\perflogs\clinic.exe
本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/3007/
暫無評論