Posté le août 12, 2023 à 7:34
UNE VARIANTE DU LOGICIEL MALVEILLANT DROXIDAT CIBLE UNE ENTREPRISE DE PRODUCTION D’ÉLECTRICITÉ SUD-AFRICAINE
Un groupe de hackers inconnu a été associé à une campagne de piratage visant une entreprise de production d’électricité basée en Afrique du Sud. L’entreprise a été ciblée par une nouvelle variante du logiciel malveillant SystemBC connue sous le nom de DroxiDat. Selon les chercheurs, cette variante de logiciel malveillant a probablement été exploitée pour déclencher une attaque par ransomware.
Le logiciel malveillant DroxiDat cible un producteur d’électricité Sud-Africain
La campagne de piratage en question a été détectée par les chercheurs de l’entreprise de cybersécurité Kaspersky. Ils ont noté que l’attaque s’est produite vers la fin du mois de mars 2023 et qu’elle n’en était qu’à ses débuts. La campagne a utilisé la variante DroxiDat pour profiler le système et le trafic du réseau proxy.
Cette campagne a aussi fait appel au protocole SOCKS5 pour envoyer du trafic vers et depuis l’infrastructure de commande et de contrôle (C2). La nature de cette campagne de piratage indique que des hackers sophistiqués connaissaient le système et savaient comment le compromettre à l’aide de ce logiciel malveillant.
Kurt Baumgartner, chercheur principal en sécurité au sein de l’équipe Kaspersky Global Research and Analysts Team (GReAT), a commenté cette affaire en indiquant qu’une porte dérobée capable de servir de proxy avait été utilisée en même temps que les balises Cobalt Strike. La campagne de piratage semblait viser les infrastructures critiques d’Afrique du Sud.
Le logiciel malveillant SystemBC utilise le langage de programmation C/C++. Il se classe parmi les logiciels malveillants de commodité et les outils d’administration à distance dont l’activité a été détectée pour la première fois en 2019. La principale caractéristique de ce logiciel malveillant est de créer des proxys SOCKS5 sur les ordinateurs de la victime.
Les hackers se servent par la suite des proxies SOCKS5 pour canaliser le trafic malveillant lié à d’autres logiciels malveillants. Les nouvelles variantes de ce logiciel malveillant peuvent également mener des fonctions supplémentaires, telles que le téléchargement et l’exécution de plus de charges utiles.
Les hackers ont utilisé une variante du logiciel malveillant SystemBC
Le logiciel malveillant SystemBC a déjà été détecté par le passé. Les campagnes passées menées à l’aide de ce logiciel malveillant sont généralement des attaques par ransomware. L’une de ces attaques a eu lieu en décembre 2020. À l’époque, un rapport de Sophos notait que les hackers de ransomwares utilisaient SystemBC RAT comme porte dérobée Tor prête à l’emploi, utilisée pour mener des infections Ryuk et Egregor.
Le communiqué publié par Sophos décrit SystemBC comme un outil capable de cibler plusieurs victimes en même temps tout en exécutant différentes fonctions. Sophos a également déclaré que l’outil pouvait également être utilisé pour mener une campagne de ransomware.
« SystemBC est un outil intéressant pour ce type d’opérations car il permet de travailler sur plusieurs cibles en même temps avec des tâches automatisées, ce qui permet de déployer un ransomware en utilisant les outils intégrés de Windows si les attaquants obtiennent les informations d’identification appropriées », a déclaré l’entreprise.
La variante DroxiDat se déploie en même temps qu’une campagne de ransomware. Lors d’un précédent incident lié aux soins de santé, les attaquants ont aussi utilisé la variante DroxiDat. Cette variante a été utilisée à peu près en même temps que le ransomware Nokoyawa.
Le logiciel malveillant utilisé dans cette campagne de piratage est compact et ne prend pas beaucoup de mémoire par rapport à SystemBC. Cependant, il n’offre pas les mêmes fonctionnalités complètes que SystemBC. Le logiciel malveillant fonctionne alors comme un simple outil de profilage du système qui exfiltre les informations volées par un hacker vers un serveur distant.
Le chercheur Baumgartner de Kaspersky a noté que le logiciel malveillant n’offre aucune fonction de téléchargement et d’exécution. Cependant, il est lié à des récepteurs distants et est ensuite utilisé pour transmettre des données. Le chercheur a également indiqué que le logiciel malveillant pouvait modifier le registre du système.
Les acteurs de la menace à l’origine de la campagne de piratage de la centrale électrique Sud-Africaine n’ont pas encore été identifiés. Toutefois, certains éléments indiquent que des groupes de ransomware Russes pourraient avoir mené l’attaque. Les chercheurs soulignent la probabilité que les hackers FIN12, également connus sous le nom de Pistachio Tempest, soient à l’origine de l’attaque, car ils ont déjà utilisé SystemBC et les balises Cobalt Strike pour des campagnes de ransomware.
Le rapport sur cette campagne intervient alors que le nombre d’attaques par ransomware ciblant les organisations industrielles et les infrastructures a doublé depuis le deuxième trimestre 2022. Ces attaques sont passées de 125 signalées au deuxième trimestre 2022 à 253 signalées au deuxième trimestre 2023. Le nombre d’attaques par ransomware au deuxième trimestre 2023 a également augmenté de 18 % par rapport au premier trimestre 2023.
Kaspersky a noté que les campagnes de ransomware continueront à cibler les opérations industrielles. Ces attaques peuvent perturber ces services de différentes manières, notamment en intégrant des processus d’élimination des technologies opérationnelles dans les souches de ransomwares et en aplatissant les réseaux, ce qui permet aux ransomwares de se propager dans les environnements OT.
Il est conseillé de prendre des mesures d’arrêt préventives pour empêcher les campagnes de ransomware de se propager aux systèmes de contrôle industriels. Ces mesures garantiront que les systèmes des utilisateurs sont à l’abri des exploits.
