Accueil > Nouvelles Cyber > Porte dérobée SystemBC Tor – le nouvel outil préféré des opérateurs de ransomware
CYBER NOUVELLES

Porte dérobée SystemBC Tor – le nouvel outil préféré des opérateurs de ransomware

par   |  Last Update:  |  0 Commentaires  

porte dérobée systemBCLes chercheurs en sécurité de Sophos viennent de publier de nouvelles informations concernant l'outil SystemBC utilisé dans plusieurs attaques de ransomware.

Des approches similaires dans la façon dont l'outil est utilisé pourraient signifier qu'un ou plusieurs affiliés ransomware-as-a-service l'ont déployé. SystemBC est une porte dérobée fournissant une connexion persistante aux systèmes ciblés.

Evolution de l'outil SystemBC

SystemBC, découvert pour la première fois en 2019, a subi un développement. L'outil a été utilisé comme proxy et comme RAT (outil d'administration à distance), capable d'exécuter des commandes Windows. D'autres fonctionnalités incluent l'exécution de scripts, exécutable malveillant, et fichiers DLL. Une fois que SystemBC est déposé sur le système, il permet une connexion de porte dérobée aux attaquants.




Les derniers échantillons de l'outil révèlent qu'il évolue. Ces exemples portent du code qui utilise le réseau Tor pour crypter et masquer la destination du trafic de commande et de contrôle. Les chercheurs ont été témoins de «centaines de tentatives de déploiement de SystemBC dans le monde». Campagnes de ransomware de ryuk et Egregor les familles ont utilisé l'outil en combinaison avec des outils de post-exploitation comme Cobalt Strike. "Dans certains cas, le SystemBC RAT a été déployé sur les serveurs après que les attaquants ont obtenu des informations d'identification administratives et se sont déplacés profondément dans le réseau ciblé,»Dit Sophos.

Composant Tor de SystemBC

Le composant Tor de l'outil est basé sur un mini-tor, une bibliothèque open source pour une connectivité légère au réseau de Tor.

Le code du mini-Tor n’est pas dupliqué dans SystemBC (puisque mini-Tor est écrit en C ++ et SystemBC est compilé à partir de C). Mais l'implémentation du bot du client Tor ressemble étroitement à l'implémentation utilisée dans le programme open-source, y compris son utilisation intensive de Windows Crypto Next Gen (GNC) Crypto de base de l'API (BCrypt) les fonctions, le rapport révèle.

Autres capacités malveillantes

Une fois exécuté à partir d'une tâche planifiée, le bot recueille des informations système spécifiques, le stocke dans un tampon, et l'envoie au serveur de commande et de contrôle via Tor. Les informations collectées comprennent les éléments suivants:

  • Nom d'utilisateur Windows actif
  • Numéro de version Windows pour le système infecté
  • Un contrôle de processus WOW (pour déterminer si le système est 32 bits ou 64 bits)
  • Numéro de série du volume.

En outre, les opérateurs de bots peuvent déployer le serveur de commande et de contrôle pour renvoyer diverses charges utiles au système infecté pour exécution. «SystemBC peut analyser et exécuter des blobs de données EXE ou DLL transmis via la connexion Tor, code shell, VBS scripts, Commandes Windows et scripts batch, et scripts PowerShell," Avertit Sophos.

Que signifient les capacités de SystemBC pour les attaques de ransomware?

Global, le large spectre des capacités de l'outil permet aux attaques d'effectuer une découverte, exfiltration, et mouvement latéral à distance à l'aide de scripts et d'exécutables packagés. Les chercheurs affirment que «ces capacités étaient à l'origine destinées à une exploitation de masse, mais ils ont maintenant été intégrés dans la boîte à outils pour les attaques ciblées, y compris les ransomwares. »

Heureusement, SystemBC peut être détecté par de nombreux outils anti-malware. Cependant, les acteurs de la menace continuent d'utiliser l'outil avec succès car ils utilisent «une protection contre les logiciels malveillants incohérente dans les organisations ou exploitent des informations d'identification légitimes pour désactiver la protection contre les logiciels malveillants».

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Articles Similaires:
  1. SystemBC Malware - Comment faire pour supprimer ce Qu'est-ce que SystemBC? How to remove SystemBC Malware from your...
  2. Tor Browser permet aux utilisateurs de surfer sur le Web de façon anonyme Plusieurs sources, parmi lesquels les sites BoingBoing et PCWorld, avoir...
  3. .Fichier virus bot (Dharma Ransomware) – Comment faire pour supprimer ce Qu'est-ce que le virus de fichier .BOT? Le virus est également connu...
  4. Onion.to Tor-to-Web vole Ransomware Les opérateurs et les victimes Stealing des opérateurs Ransomware et victimes Ransomware? Mission possible, Says...
  5. Version du navigateur Tor 10.0.18 Corrige la vulnérabilité de suivi des utilisateurs Si vous utilisez le navigateur Tor, Tu devrais obtenir...
  6. Remarque Suppression de Mini Mac What Is Note Mini Mac Note Mini is the name...
  7. Facebook facilite l'accès à son réseau social pour les services cachés Tor utilisateurs Sur Octobre, 31 la semaine dernière, Facebook a annoncé qu'ils étaient ...
  8. Tor dactyloscopie Navigateur des utilisateurs: Mission possible Pour de nombreux utilisateurs, Tor est la version en ligne d'un...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politique de confidentialité.
Je suis d'accord