SystemBC sa stáva populárnym nástrojom používaným vo vysokoprofilových kampaniach proti ransomvéru.
Trójsky kôň so vzdialeným prístupom (RAT), ktorý sa predáva na podzemných fórach, sa vyvinul tak, aby zneužíval Tor pri udržiavaní perzistencie na infikovaných počítačoch.
Bezpečnosť
- 8 návykov vysoko bezpečných vzdialených pracovníkov
- Ako nájsť a odstrániť spyware z telefónu
- Najlepšie služby VPN: Ako sa porovnáva 5 najlepších?
- Ako zistiť, či ste zapojený do porušenia ochrany údajov - a čo robiť ďalej
Vo štvrtok odhalili Sivagnanam Gn a Sean Gallagher zo Sophos Labs prebiehajúci výskum do malvéru, ktorý je vo voľnej prírode od roku 2019.
RAT, nazývaný SystemBC, sa vyvinul z fungovania virtuálnej súkromnej siete (VPN) cez proxy server SOCKS5 na zadné vrátka, ktoré využíva sieť Tor na vytvorenie perzistencie a sťaženie sledovania pripojených serverov príkazového a riadiaceho systému (C2) úloha.
Podľa výskumníkov je malvér SystemBC so systémom Windows schopný vykonávať príkazy Windows, nasadzovať skripty, implementovať škodlivé knižnice DLL, vzdialenú správu a monitorovanie a vytváranie zadných vrátok pre operátorov na pripojenie malvéru k C2, aby mohli prijímať príkazy.
Sophos Labs hovorí, že v priebehu roka sa SystemBC vyvinul a funkcie boli vylepšené, čo viedlo k zvýšenej popularite u kupujúcich vrátane prevádzkovateľov ransomvéru.
Pozri tiež: Vaše e-mailové vlákna sú teraz unesené trójskym koňom QBot
Po nasadení sa RAT skopíruje a naplánuje ako službu, ale tento krok preskočí, ak sa zistí antivírusový softvér Emsisoft. Pripojenie k C2 sa potom vytvorí prostredníctvom majákového spojenia so vzdialeným serverom na jednej dvoch napevno kódovaných domén - s adresami, ktoré sa líšia vo vzorkách - ako aj odľahčený Tor zákazník.
"Zdá sa, že komunikačný prvok Tor SystemBC je založený na mini-tore, open-source knižnici pre ľahké pripojenie k anonymizovanej sieti Tor," poznamenávajú vedci. „Kód mini-Tor nie je duplikovaný v SystemBC [...], ale robotova implementácia klienta Tor sa veľmi podobá implementácia používaná v programe s otvoreným zdrojovým kódom, vrátane jeho rozsiahleho využívania rozhrania Windows Crypto Next Gen (CNG) API Base Crypto (BCrypt) funkcie."
Za posledných pár mesiacov bol SystemBC sledovaný v „stovkách“ nasadení, vrátane nedávnych útokov ransomvéru Ryuk a Egregor. Tím tvrdí, že zadné vrátka boli nasadené potom, čo kyberútočníci získali prístup k povereniam servera v týchto útokoch, pričom SystemBC pôsobí ako cenná trvalá skrutka na hlavné kmene malvéru použité.
SystemBC bol nasadený ako hotový nástroj, pravdepodobne získaný prostredníctvom obchodov s malware-as-a-service uzatvorenými na podzemných fórach av niektorých prípadoch bol prítomný na infikovaných počítačoch niekoľko dní - alebo týždňov - v a čas.
„SystemBC je atraktívny nástroj v týchto typoch operácií, pretože umožňuje pracovať s viacerými cieľmi súčasne s automatizovanými úlohy umožňujúce nasadenie ransomvéru bez použitia rúk pomocou nástrojov vstavaných vo Windowse, ak útočníci získajú správne poverenia,“ Sophos Labs pridané.
Predchádzajúce a súvisiace pokrytie
-
Jupyter trojan: Novoobjavený malvér tajne kradne používateľské mená a heslá
-
Ransomware rastie: Tu sú štyri spôsoby, ako sa útočníci dostávajú do vašich systémov
-
Nový malvér s trójskymi koňmi napísaný v Pythone sa zameriava na fintech spoločnosti
Máte tip? Spojte sa bezpečne cez WhatsApp | Signál na čísle +447713 025 499 alebo na čísle Keybase: charlie0