SystemBC-Malware wird zunehmend als Ransomware-Hintertür genutzt
Inhaltsverzeichnis:
Eine neue Version der SystemBC-Malware wird zunehmend von den Verantwortlichen für Ransomware genutzt, um sich in die Zielumgebungen einzuschleichen. Sicherheitsexperten weisen darauf hin, dass führende Ransomware-as-a-Service (RaaS) Kollektive, darunter DarkSide, Ryuk und Cuba, SystemBC als persistentes Backdoor nutzen, um den Zugriff auf die angegriffenen Instanzen aufrechtzuerhalten und eine Vielzahl berüchtigter Aktivitäten durchzuführen.
Was ist SystemBC?
SystemBC ist eine multifunktionale Bedrohung, die Proxy- und Trojaner-Funktionen für Fernzugriff (RAT) kombiniert. Ursprünglich 2019 entdeckt, wurde die Malware hauptsächlich als Netzwerk-Proxy verwendet, der das SOCKS5-Protokoll für versteckte Kommunikation nutzt. Die Bedrohung hat sich jedoch im Laufe der Zeit entwickelt und kann nun als RAT fungieren. Insbesondere kann SystemBC Windows-Befehle ausführen, bösartige Skripte bereitstellen und DLLs sowie ausführbare Dateien der zweiten Stufe ausführen.
Bemerkenswerterweise verzichten die neuesten SystemBC-Beispiele auf den SOCKS5-Proxy zugunsten des Tor-Anonymisierungsnetzwerks, um zu verschlüsseln und den Command-and-Control (C&C) Verkehr zu verschleiern. Auch im Mai 2021 haben Sicherheitsforscher eine neue „Wrapper“ entdeckt, der die Prozess-Hollowing-Technik nutzt, um SystemBC auf den Zielgeräten einzusetzen. a new “wrapper” that leverages the process hollowing technique to deploy SystemBC to the targeted devices.
Nach der Infektion dient die Malware der lateralen Bewegung, indem sie mit Cobalt Strike verkettet wird, um Passwortdiebstahl- und Erkundungsoperationen durchzuführen. Auch nutzen Hacker häufig SystemBC, um Persistenz zu erreichen und Powershell-, .BAT- und .CMD-Skripte für weitere Ausnutzung und Ransomware-Bereitstellung abzulegen.
Ransomware-Backdoor
SystemBC wurde in mehreren Ransomware-Angriffen eingesetzt. Die Ryuk Gruppe nutzte die Bedrohung in Phishing-Angriffen zusammen mit Buer Loader und Bazar-Backdoor. Auch Egregor-Kampagnen setzten auf SystemBC, um Persistenz zu erlangen und Ransomware-Infektionen voranzutreiben. Die berüchtigte DarkSide-Gruppe, verantwortlich für die Colonial Pipeline Stilllegung im Mai 2021, setzte ebenfalls auf SystemBC für Infektionen. Schließlich nutzten die Betreiber der Cuba-Ransomware dieses schädliche Sample im Rahmen ihrer bösartigen Aktivitäten.
Sicherheitsexperten fassen zusammen, dass SystemBC unter Ransomware-Betreibern extrem populär wird, da es die Möglichkeit bietet, sich heimlich über das Tor-Netzwerk mit dem C&C-Server zu verbinden und Gegnern ein zusätzliches Werkzeug zum Ausführen von Befehlen und Skripten bereitzustellen. Das bösartige Sample hilft Hackern, Teile des Eindringens zu automatisieren und die Anzahl der erfolgreichen Eindringversuche zu maximieren.
SystemBC-Erkennung
Um eine SystemBC-Infektion zu erkennen und Ihre Infrastruktur vor möglichen Ransomware-Angriffen zu schützen, können Sie eine Community Sigma-Regel herunterladen, die im Threat Detection Marketplace von Emir Erdogan veröffentlicht wurde, unserem engagierten Threat Bounty Entwickler:
https://tdm.socprime.com/tdm/info/FOQl3HcaDX90/#sigma
Die Regel hat Übersetzungen in folgenden Sprachen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye
EDR: SentinelOne, Microsoft Defender ATP, CrowdStrike, Carbon Black
MITRE ATT&CK:
Taktiken: Credential Access, Defense Evasion
Techniken: Exploitation for Credential Access (T1212), Modify Registry (T1112)
Holen Sie sich ein kostenloses Abonnement für den Threat Detection Marketplace, eine führende Content-as-a-Service (CaaS) Plattform, die vollständige CI/CD-Arbeitsabläufe zur Bedrohungserkennung unterstützt, indem sie qualifizierte, hersteller- und werkzeugübergreifende SOC-Inhalte bereitstellt. Die Bibliothek von SOC Prime kombiniert über 100.000 Abfragen, Parser, SOC-fertige Dashboards, YARA- und Snort-Regeln, maschinelle Lernmodelle und Incident Response Playbooks, die auf 23 marktführende SIEM-, EDR- und NTDR-Technologien zugeschnitten sind. Möchten Sie Ihre eigenen Erkennungsinhalte erstellen? Nehmen Sie an unserem Threat Bounty Programm teil und erhalten Sie eine Belohnung für Ihren Beitrag!
