Malware SystemBC sempre più utilizzato come backdoor per ransomware
Indice:
Una nuova versione del malware SystemBC è sempre più utilizzata dai gestori di ransomware per aprirsi la strada negli ambienti mirati. Gli esperti di sicurezza indicano che i principali collettivi di ransomware-as-a-service (RaaS), tra cui DarkSide, Ryuk e Cuba, sfruttano SystemBC come una backdoor persistente in grado di mantenere l’accesso alle istanze attaccate e svolgere una varietà di attività notorie.
Cos’è SystemBC?
SystemBC è una minaccia multifunzionale che combina funzionalità di proxy e di Trojan di accesso remoto (RAT). Scoperto inizialmente nel 2019, il malware è stato utilizzato principalmente come proxy di rete sfruttando il protocollo SOCKS5 per comunicazioni nascoste. Tuttavia, la minaccia si è evoluta nel tempo, ora è in grado di agire come RAT. In particolare, SystemBC può eseguire comandi Windows, consegnare script dannosi ed eseguire DLL insieme a eseguibili di seconda fase.
Notabilmente, gli ultimi campioni di SystemBC abbandonano il proxy SOCKS5 a favore dell’uso della rete di anonimizzazione Tor per criptare e camuffare il traffico di comando e controllo (C&C). Inoltre, nel maggio 2021, i ricercatori di sicurezza hanno individuato un nuovo “wrapper” che utilizza la tecnica di process hollowing per distribuire SystemBC sui dispositivi mirati.
Dopo l’infezione, il malware serve per lo spostamento laterale, essendo concatenato con Cobalt Strike per eseguire operazioni di furto di password e scoperta. Inoltre, gli hacker usano frequentemente SystemBC per ottenere persistenza e rilasciare script Powershell, .BAT e .CMD per ulteriori exploit e distribuzione di ransomware.
Ransomware Backdoor
SystemBC è stato utilizzato in diversi attacchi ransomware. La gang Ryuk ha sfruttato la minaccia in attacchi di phishing insieme a Buer loader e Bazar backdoor. Inoltre, le campagne Egregor hanno fatto affidamento su SystemBC per ottenere persistenza e procedere con le infezioni ransomware. La famigerata gang DarkSide, responsabile della chiusura del Colonial Pipeline nel maggio 2021, ha anche utilizzato SystemBC per le infezioni. Infine, i manutentori del ransomware Cuba hanno applicato questo campione dannoso nel corso della loro attività dannosa.
Gli esperti di sicurezza riassumono che SystemBC guadagna un’enorme popolarità tra gli operatori di ransomware a causa della sua capacità di connettersi segretamente al server C&C tramite la rete Tor e fornire agli avversari uno strumento aggiuntivo per eseguire comandi e script. Il campione dannoso aiuta gli hacker ad automatizzare le parti di intrusione e massimizzare il numero di intrusioni riuscite.
Rilevazione di SystemBC
Per rilevare l’infezione da SystemBC e proteggere la tua infrastruttura da possibili attacchi ransomware, puoi scaricare una regola Sigma della comunità rilasciata nel Threat Detection Marketplace da Emir Erdogan, il nostro abile sviluppatore Threat Bounty:
https://tdm.socprime.com/tdm/info/FOQl3HcaDX90/#sigma
La regola ha traduzioni nelle seguenti lingue:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye
EDR: SentinelOne, Microsoft Defender ATP, CrowdStrike, Carbon Black
MITRE ATT&CK:
Tattiche: Accesso alle Credenziali, Elusione della Difesa
Tecniche: Sfruttamento per Accesso alle Credenziali (T1212), Modifica del Registro (T1112)
Ottieni un abbonamento gratuito a Threat Detection Marketplace, una piattaforma leader nel settore Content-as-a-Service (CaaS) che alimenta il flusso di lavoro CI/CD completo per il rilevamento delle minacce fornendo contenuti SOC qualificati, multi-vendor e multi-strumento. La libreria di SOC Prime aggrega oltre 100K tra query, parser, dashboard SOC-read, regole YARA e Snort, modelli di Machine Learning e Playbook per la Risposta agli Incidenti su misura per 23 tecnologie leader di mercato SIEM, EDR e NTDR. Desideroso di creare i tuoi contenuti di rilevamento? Partecipa al nostro Programma Threat Bounty e ricevi ricompense per il tuo contributo!
