Malware SystemBC Cada Vez Mais Usado como Backdoor de Ransomware
Índice:
Uma nova versão do malware SystemBC está sendo cada vez mais utilizada por mantenedores de ransomware para abrir caminho até os ambientes-alvo. Especialistas em segurança indicam que as principais coletivas de ransomware como serviço (RaaS), incluindo DarkSide, Ryuk e Cuba, utilizam o SystemBC como uma backdoor persistente capaz de manter acesso às instâncias atacadas e realizar uma variedade de atividades notórias.
O que é o SystemBC?
O SystemBC é uma ameaça multifuncional que combina recursos de proxy e trojan de acesso remoto (RAT). Inicialmente descoberto em 2019, o malware era predominantemente usado como um proxy de rede aproveitando o protocolo SOCKS5 para comunicações ocultas. No entanto, a ameaça evoluiu com o tempo, agora sendo capaz de atuar como um RAT. Particularmente, o SystemBC pode executar comandos do Windows, entregar scripts nefastos e executar DLLs juntamente com executáveis de segunda fase.
Notavelmente, as amostras mais recentes do SystemBC abandonam o proxy SOCKS5 em favor do uso da rede anônima Tor para criptografar e camuflar o tráfego de comando e controle (C&C). Além disso, em maio de 2021, pesquisadores de segurança detectaram um novo “wrapper” que utiliza a técnica de hollowing de processos para implementar o SystemBC nos dispositivos-alvo.
Após a infecção, o malware serve para movimento lateral, sendo encadeado com o Cobalt Strike para executar operações de roubo de senhas e descoberta. Além disso, hackers frequentemente usam o SystemBC para alcançar persistência e soltar scripts Powershell, .BAT e .CMD para exploração e entrega de ransomware.
Backdoor de Ransomware
O SystemBC tem sido implementado em múltiplos ataques de ransomware. A gangue Ryuk utilizou a ameaça em ataques phishing juntamente com o carregador Buer e a backdoor Bazar. Além disso, campanhas Egregor dependiam do SystemBC para obter persistência e proceder com infecções de ransomware. A infame gangue DarkSide, responsável pelo fechamento do Colonial Pipeline em maio de 2021, também dependeu do SystemBC para infecções. Finalmente, os mantenedores do ransomware Cuba aplicaram esta amostra maliciosa no curso de sua atividade maliciosa.
Especialistas em segurança resumem que o SystemBC ganha extrema popularidade entre os operadores de ransomware devido à sua capacidade de conectar-se de forma encoberta ao servidor C&C via rede Tor e fornecer aos adversários uma ferramenta adicional para executar comandos e scripts. A amostra maliciosa ajuda hackers a automatizar partes da intrusão e maximizar o número de intrusões bem-sucedidas.
Detecção de SystemBC
Para detectar infecção pelo SystemBC e proteger sua infraestrutura de possíveis ataques de ransomware, você pode baixar uma regra Sigma comunitária lançada no Threat Detection Marketplace por Emir Erdogan, nosso desenvolvedor ávido do Threat Bounty:
https://tdm.socprime.com/tdm/info/FOQl3HcaDX90/#sigma
A regra tem traduções para os seguintes idiomas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye
EDR: SentinelOne, Microsoft Defender ATP, CrowdStrike, Carbon Black
MITRE ATT&CK:
Táticas: Acesso a Credenciais, Evasão de Defesa
Técnicas: Exploração para Acesso a Credenciais (T1212), Modificar Registro (T1112)
Obtenha uma assinatura gratuita para o Threat Detection Marketplace, uma plataforma de Conteúdo como Serviço (CaaS) líder da indústria que impulsiona o fluxo de trabalho CI/CD completo para detecção de ameaças fornecendo conteúdo SOC qualificado, entre fornecedores e entre ferramentas. A biblioteca do SOC Prime agrega mais de 100 mil consultas, parsers, dashboards prontos para SOC, regras YARA e Snort, modelos de Aprendizado de Máquina e Livros de Resposta a Incidentes adaptados a 23 tecnologias SIEM, EDR e NTDR líderes de mercado. Deseja criar seu próprio conteúdo de detecção? Participe do nosso Programa Threat Bounty e seja recompensado por sua contribuição!
