Неизвестный злоумышленник атаковал электроэнергетическую компанию на юге Африки с помощью маячков Cobalt Strike и DroxiDat, нового варианта полезной нагрузки SystemBC. Kaspersky Lab предполагают, что этот инцидент находился на начальной стадии атаки с использованием ransomware.
Эта атака произошла на третьей и четвертой неделе марта 2023 года в рамках небольшой волны атак с использованием маяков DroxiDat и CobaltStrike по всему миру. DroxiDat, представляющий собой худой вариант SystemBC размером ~8 кб и выполняющий функции системного профайлера и простого бота с поддержкой SOCKS5, был обнаружен в электросети.
Инфраструктура C2 для этого инцидента в электроэнергетике включала домен "powersupportplan[.]com", который разрешался на уже подозрительный IP-хост. Этот хост несколько лет назад использовался в рамках APT-активности, что наводит на мысль о возможности целевой атаки APT. Хотя интерес к этой атаке был повышен, связь с предыдущей APT так и не была установлена и, скорее всего, не имела отношения к ней. Программа-вымогатель не была доставлена в организацию, и Kaspersky Lab не располагают достаточной информацией для точного определения этой активности. Однако в инциденте с DroxiDat, связанном со здравоохранением, примерно в те же сроки была доставлена программа-вымогатель Nokoyawa, а также несколько других инцидентов с участием CobaltStrike, имевших одинаковый идентификатор лицензии, каталоги хранения и/или C2.
Indicators of Compromise
IPv4
- 179.60.146.6
- 194.165.16.63
- 93.115.25.41
Domains
- powersupportplan.com
- epowersoftware.com
MD5
- 19567b140ae6f266bac6d1ba70459fbd
- 8d582a14279920af10d37eae3ff2b705
SHA1
- f98b32755cbfa063a868c64bd761486f7d5240cc
- fd9016c64aea037465ce045d998c1eead3971d35
SHA256
- a002668f47ff6eb7dd1b327a23bafc3a04bf5208f71610960366dfc28e280fe4
- a00ca18431363b32ca20bf2da33a2e2704ca40b0c56064656432afd18a62824e