Le Malware SystemBC de plus en plus utilisé comme porte dérobée pour les rançongiciels

[post-views]
mai 14, 2021 · 4 min de lecture
Le Malware SystemBC de plus en plus utilisé comme porte dérobée pour les rançongiciels

Une nouvelle version du malware SystemBC est de plus en plus utilisée par les mainteneurs de ransomwares pour se frayer un chemin dans les environnements ciblés. Les experts en sécurité indiquent que les principaux collectifs de ransomware-as-a-service (RaaS), y compris DarkSide, Ryuk et Cuba, exploitent SystemBC comme une porte dérobée persistante capable de maintenir l’accès aux instances attaquées et de réaliser une variété d’activités notoires.

Qu’est-ce que SystemBC?

SystemBC est une menace multifonctionnelle combinant des fonctionnalités de proxy et de cheval de Troie d’accès à distance (RAT). Découvert initialement en 2019, le malware était principalement utilisé comme proxy réseau exploitant le protocole SOCKS5 pour des communications cachées. Cependant, la menace a évolué au fil du temps, pouvant maintenant agir comme un RAT. En particulier, SystemBC peut exécuter des commandes Windows, livrer des scripts néfastes, et exécuter des DLLs aux côtés d’exécutables de deuxième étape.

Notamment, les derniers échantillons de SystemBC abandonnent le proxy SOCKS5 au profit de l’utilisation du réseau d’anonymisation Tor pour chiffrer et camoufler le trafic de commande et de contrôle (C&C). De plus, en mai 2021, des chercheurs en sécurité ont repéré un nouveau « wrapper » qui exploite la technique de l’évidement de processus pour déployer SystemBC sur les appareils ciblés.

À l’infection, le malware sert au mouvement latéral, étant enchaîné avec Cobalt Strike pour exécuter des opérations de vol de mots de passe et de découverte. De plus, les hackers utilisent fréquemment SystemBC pour obtenir la persistance et déposer des scripts Powershell, .BAT et .CMD pour une exploitation et une livraison de ransomwares supplémentaires.

Porte dérobée Ransomware

SystemBC a été déployé dans de multiples attaques de ransomware. Le groupe Ryuk a exploité la menace dans des attaques de phishing aux côtés du chargeur Buer et de la porte dérobée Bazar. De plus, les campagnes Egregor ont utilisé SystemBC pour obtenir la persistance et procéder à des infections par ransomware. Le fameux gang DarkSide, à l’origine de l’arrêt de Colonial Pipeline en mai 2021, a également utilisé SystemBC pour les infections. Enfin, les mainteneurs de ransomware Cuba ont appliqué cet échantillon malveillant au cours de leur activité malveillante.

Les experts en sécurité résument que SystemBC gagne une popularité extrême parmi les opérateurs de ransomware en raison de sa capacité à se connecter secrètement au serveur C&C via le réseau Tor et de fournir aux adversaires un outil supplémentaire pour exécuter des commandes et des scripts. Cet échantillon malveillant aide les hackers à automatiser les parties de l’intrusion et à maximiser le nombre d’intrusions réussies.

Détection de SystemBC

Pour détecter l’infection SystemBC et protéger votre infrastructure des éventuelles attaques de ransomware, vous pouvez télécharger une règle Sigma communautaire publiée dans le Threat Detection Marketplace par Emir Erdogan, notre développeur enthousiaste de Threat Bounty :

https://tdm.socprime.com/tdm/info/FOQl3HcaDX90/#sigma

La règle a des traductions dans les langues suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye

EDR : SentinelOne, Microsoft Defender ATP, CrowdStrike, Carbon Black

MITRE ATT&CK :

Tactiques : Accès aux informations d’identification, Évasion de la défense

Techniques : Exploitation pour l’accès aux informations d’identification (T1212), Modification du registre (T1112)

Obtenez un abonnement gratuit au Threat Detection Marketplace, une plateforme CaaS leader sur le marché qui alimente un workflow CI/CD complet pour la détection des menaces en fournissant du contenu SOC qualifié, inter-fournisseurs et inter-outils. La bibliothèque de SOC Prime agrège plus de 100K requêtes, analyseurs, tableaux de bord prêts pour SOC, règles YARA et Snort, modèles de machine learning et playbooks de réponse aux incidents adaptés à 23 technologies SIEM, EDR et NTDR leaders du marché. Envie de créer votre propre contenu de détection ? Rejoignez notre programme Threat Bounty et soyez récompensé pour votre contribution !

Aller à la plateforme Rejoindre Threat Bounty

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande 3 min de lecture Plateforme SOC Prime Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande by Steven Edwards Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore 5 min de lecture Dernières Menaces Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore by Veronika Telychko Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes 5 min de lecture Dernières Menaces Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes by Veronika Telychko
Toutes les actualités