未知的攻击者使用DroxiDat和Cobalt Strike工具针对电力设施发动攻击
本帖最后由 梦幻的彼岸 于 2023-8-14 21:21 编辑备注
翻译:梦幻的彼岸
原文地址:https://securelist.com/focus-on-droxidat-systembc/110302/
原文标题:Unknown Actor Targets Power Generator with DroxiDat and Cobalt Strike
前言
最近,我们向客户推送了一份报告,内容涉及网络犯罪恶意软件集中一个有趣而常见的组件--SystemBC。与 2021 年的 Darkside Colonial Pipeline 事件如出一辙,我们发现了一个部署在关键基础设施目标上的新 SystemBC 变种。这一次,具有代理功能的后门与 Cobalt Strike beacons一起部署在南非国家的关键基础设施中。
Kim Zetter在她的BlackHat 2022主题演讲“Pre-Stuxnet, Post-Stuxnet: Everything Has Changed, Nothing Has Changed”中详细审查了之前的Colonial Pipeline事故,称其为“分水岭时刻”。我们现在在世界其他地方也看到了针对性和战术上的相似之处。
有关工业勒索软件攻击的大量摘要内容和有趣的趋势分析已经发布:"2023 年第二季度被证明是勒索软件组织异常活跃的时期,对工业组织和基础设施构成了重大威胁",但有关特定电力公司勒索软件事件的技术细节却鲜有公开报道。我们知道,在全球范围内,接受调查的电力公司报告了越来越多的有针对性的活动和更高的风险: "56%的受访者报告说,在过去 12 个月中,至少发生过一次涉及私人信息丢失或 OT 环境中断的攻击。虽然并非所有活动都是勒索软件攻击者所为,但相关的勒索软件攻击者或许是在避免遭到强大的政府机构和联盟的报复,同时继续执行之前已取得成功的游戏计划。无论如何,这种针对公用事业的攻击增加是一个具有严重潜在后果的现实问题,特别是在网络中断可能影响全国客户的地区。
在非洲南部,未知的攻击者利用Cobalt Strike beacons和DroxiDat(一种SystemBC负载的新变种)针对一家电力企业进行攻击。我们推测,这起事件可能是一起勒索软件攻击的初始阶段。这次攻击发生在2023年3月的第三和第四周,作为全球范围内涉及DroxiDat和Cobalt Strike Beacons的一小波攻击的一部分。DroxiDat是一种体积精简的约8KB的SystemBC变种,用作系统配置文件和简单的支持SOCKS5的僵尸程序,我们在该电力企业中检测到了它的存在。对于这次电力企业事件的C2基础设施涉及到一个与能源相关的域名"powersupportplan[.]com",解析到一个已经可疑的IP主机上。该主机在几年前曾作为APT活动的一部分,提高了APT相关定向攻击的潜在可能性。尽管我们的兴趣被引起,但与之前的APT之间的链接从未建立起来,很可能是无关的。组织未收到勒索软件,并且我们没有足够的信息来准确归因于该活动。然而,在大约同一时间发生的与医疗保健相关的以DroxiDat为主的事件中,传播了Nokoyawa勒索软件,还有几起涉及使用相同的license_id和分段目录以及/或C2的Cobalt Strike的其他事件。
DroxiDat/SystemBC 技术细节
DroxiDat/SystemBC 载荷组件本身就是一种变化多端的恶意后门,常常作为勒索软件事件的一部分使用。已经公开记录了多种“类型”的 SystemBC。自2018年以来,SystemBC 平台已在各种地下论坛上作为“恶意软件服务”(Malware as a Service,MaaS)进行销售。该平台由三个独立部分组成:服务器端的C2 Web 服务器和管理面板,以及目标端的后门载荷。关于早期的 SystemBC 变种,其他研究人员已经指出:“在这类操作中,SystemBC在这类操作中是一种有吸引力的工具,因为它可以同时处理多个目标,并自动执行任务,从而实现对于Windows内置工具的无人操作部署,如果攻击者获得适当的凭证,就可以使用勒索软件进行攻击。”
与之前常见的 15-30kb+ SystemBC 变种相比,这个 DroxiDat 变种非常小巧。被检测到的 SystemBC 对象至少可以追溯到 2018 年(曾观察到 2017 年 7 月编译的 SystemBC 可执行文件),数量多达数千个,并被一长串勒索软件附属程序所使用。事实上,以前的 SystemBC 有效载荷所提供的大部分功能似乎都已从其代码库中剥离,而这个 DroxiDat 恶意软件变种的目的只是一个简单的系统分析工具--其文件名表明其使用案例为 "syscheck.exe"。它不提供下载和执行功能,但可以与远程监听器建立连接并传输数据,以及修改系统注册表。另外有趣的是,在这个发电机网络中,DroxiDat/SystemBC只被检测到存在于类似于过去DarkSide的目标的
系统资产上。而且,在2021年,一个DarkSide的合作伙伴攻击了巴 西的Electrobras和Copel能源公司。过去的Egregor和Ryuk事件中,使用了C:\perflogs作为存储,结合DroxiDat/SystemBC和CobaltStrike可执行对象。
MD58d582a14279920af10d37eae3ff2b705
SHA1f98b32755cbfa063a868c64bd761486f7d5240cc
SHA256a00ca18431363b32ca20bf2da33a2e2704ca40b0c56064656432afd18a62824e
Link timeThu, 15 Dec 2022 06:34:16 UTC
File typePE32 executable (GUI) Intel 80386, for MS Windows
File size8192 bytes
File pathC:\perflogs\syscheck.exe
这种 DroxiDat 恶意软件的两个实例出现在多个系统的 C:\perflogs 中,同时还有两个 Cobalt Strike beacons。
从本质上讲,这个变种提供了几种功能:
获取当前活动机器名称/用户名、本地 IP 和卷序列信息。
它不会创建独占互斥项,而是检查后创建一个新线程,并注册一个窗口,类名为 "Microsoft",文本名为 "win32app"(包含在 systemBC 的所有变体中)。
简单 xor 解密其 C2(IP:端口)设置,并创建远程主机会话。
加密并向 C2 发送收集到的系统信息。
可创建和删除注册表键值。
这个Windows变种缺少了过去常见的一项功能:
文件创建功能。
文件执行开关语句、硬编码文件扩展名(vbs、cmd、bat、exe、ps1)解析和代码执行功能。
Mini-TOR 客户端功能。
Emisoft 反恶意软件扫描
该对象包含 xor 编码的配置设置:
XOR KEY: 0xB6108A9DB511264DB3FAFDB74F3D7F22ECCFC2683755966371A3974A1EA15A074404D96B6510CEE6
HOST1: 93.115.25.41
HOST2: 192.168.1.28
PORT1: 443
因此,在这种情况下,它的直接 C2 目的地是 93.115.25.41:443
直到 2022 年 11 月,这个 IP 主机一直提供比特币服务。由于上述后门是在 12 月中旬编译的,因此其所有权可能在 2022 年 12 月发生了变化。
第二个 DroxiDat 可执行文件被下发到相同的系统中,其功能是在 "Software\Microsoft\Windows\CurrentVersion\Run "注册表键中添加可执行条目,其中包含一个 "socks5 "条目,即:
powershell.exe -windowstyle hidden -Command "c:\perflogs\hos.exe"
第三个 DroxiDat 对象(这次是一个 dll)被发送到服务器。
MD51957deed26c7f157cedcbdae3c565cff
SHA1be9e23e56c4a25a8ea453c093714eed5e36c66d0
SHA256926fcb9483faa39dd93c8442e43af9285844a1fbbe493f3e4731bbbaecffb732
Link timeThu, 15 Dec 2022 06:07:31 UTC
File typePE32 executable (DLL) (GUI) Intel 80386, for MS Windows
File size7168 bytes
File pathc:\perflogs\svch.dll
它实现的功能与上述 "syscheck.exe "基本相同,但不能修改注册表。它还维护相同的 HOST 和 PORT 值,以及 40 字节的密钥。
Cobalt Strike beacons和相关基础设施
这些系统上也检测到了 Cobalt Strike Beacons,位于相同的目录和类似的基础设施中。在一些情况下,Beacons 和 DroxiDat 在同一天到达并被检测到。在某些情况下, Beacons 首先在相同的 perflogs 目录中出现并在两天后被检测到,而更多的 Beacons 则在六天后被检测到。很有可能
是同一攻击者通过窃取的凭据或其他未知方法维持了访问权限。
beacons的基础架构是以power-utility为主题的:
powersupportplan[.]com, 179.60.146.6
URL: /rs.css, /skin
多个回调至该 C2 的Beacons包含相同的 license_id 值:
"license_id": "0x282d4156"
我们还发现了另外一个 Cobalt Strike C2 服务器和Beacons集群,可能也是欺骗性的电力设施主题,以及其他相关数据点:
epowersoftware[.]com, 194.165.16.63.
该 epowersoftware 主机上的 ssh 服务器与 powersupportplan[.]com 上的服务器共享相同的 ssh 版本和 RSA 密钥。此外,如上图所示,回调到该域的 CS beacon 保留相同的 license_id: "license_id": "0x282d4156"。
归属
我们在私人报告中提到的多起事件中发现了一组一致的数据点,这有助于我们以较低的置信度进行评估。其中有几个数据点表明,这一活动可能是讲俄语的 RaaS 网络犯罪活动所为。在这种情况下,我们可能会看到一个名为 Pistachio Tempest 或 FIN12 的组织开展的活动,据 HHS 报告,该组织在 2022 年 "专门针对医疗保健行业",经常部署 SystemBC 和 CS Beacon 来部署勒索软件。
在 2023 年初的入侵事件中,始终使用相同的 perflogs 阶段目录。
SystemBC 始终与 Cobalt Strike 配对。
Cobalt Strike 主机共享配置文件数据。
2023 年初,Nokoyawa 勒索软件与 DroxiDat 一起部署在一家医疗机构内。
Reference IoC
域名和 IP
93.115.25.41
powersupportplan[.]com, 179.60.146.6
可能与此有关
epowersoftware[.]com, 194.165.16.63
文件 hash
Droxidat
8d582a14279920af10d37eae3ff2b705
f98b32755cbfa063a868c64bd761486f7d5240cc
a00ca18431363b32ca20bf2da33a2e2704ca40b0c56064656432afd18a62824e
CobaltStrike beacon
19567b140ae6f266bac6d1ba70459fbd
fd9016c64aea037465ce045d998c1eead3971d35
a002668f47ff6eb7dd1b327a23bafc3a04bf5208f71610960366dfc28e280fe4
文件路径及相关对象
C:\perflogs\syscheck.exe
C:\perflogs\a.dll
C:\perflogs\hos.exe
C:\perflogs\host.exe
C:\perflogs\hostt.exe
C:\perflogs\svch.dll
C:\perflogs\svchoct.dll
C:\perflogs\admin\svcpost.dll
C:\perflogs\admin\syscheck.exe
C:\perflogs\sk64.dll
C:\perflogs\clinic.exe
页:
[1]