ソフォスのセキュリティ研究者が、複数のランサムウェア攻撃で使用されるSystemBCツールに関する新しい情報をリリースしました.
ツールの使用方法における同様のアプローチは、1つ以上のサービスとしてのランサムウェアアフィリエイトがツールを展開したことを意味する可能性があります. SystemBCは、ターゲットシステムへの永続的な接続を提供するバックドアです。.
SystemBCツールの進化
SystemBC, 最初に発見された 2019, 開発を経ています. このツールはプロキシおよびRATとして使用されています (リモート管理ツール), Windowsコマンドを実行できる. その他の機能には、スクリプトの実行が含まれます, 悪意のある実行可能ファイル, およびDLLファイル. SystemBCがシステムにドロップされると, 攻撃者へのバックドア接続を許可します.
ツールの最新のサンプルは、ツールが進化していることを示しています. これらのサンプルには、Torネットワークを使用してコマンドアンドコントロールトラフィックの宛先を暗号化および非表示にするコードが含まれています. 研究者たちは、「世界中で何百ものSystemBCの展開が試みられた」ことを目撃しました。のランサムウェアキャンペーン リューク と 類魂 家族は、CobaltStrikeのような悪用後のツールと組み合わせてツールを利用しました. "ある場合には, SystemBC RATは、攻撃者が管理者の資格情報を取得し、標的のネットワークの奥深くに移動した後にサーバーに展開されました,」ソフォソは言う.
SystemBCのTorコンポーネント
ツールのTorコンポーネントはmini-torに基づいています, Torのネットワークへの軽量接続のためのオープンソースライブラリ.
mini-TorのコードはSystemBCで複製されません (mini-TorはC++で記述されており、SystemBCはCからコンパイルされているため). しかし、ボットによるTorクライアントの実装は、オープンソースプログラムで使用されている実装とよく似ています。, Windows CryptoNextGenの広範な使用を含む (CNG) APIの基本暗号 (BCrypt) 機能, レポートは明らかにします.
その他の悪意のある機能
スケジュールされたタスクから実行されると, ボットは特定のシステム情報を収集します, バッファに保存します, Torを介してコマンドアンドコントロールサーバーに送信します. 収集される情報には、以下が含まれます:
- アクティブなWindowsユーザー名
- 感染したシステムのWindowsビルド番号
- WOWプロセスチェック (システムが32ビットか64ビットかを判断する)
- ボリュームシリアル番号.
さらに, ボットオペレーターは、コマンドアンドコントロールサーバーをデプロイして、さまざまなペイロードを感染したシステムに送り返して実行することができます。. 「SystemBCは、Tor接続を介して渡されたEXEまたはDLLデータブロブを解析して実行できます, シェルコード, VBSスクリプト, Windowsコマンドとバッチスクリプト, およびPowerShellスクリプト,」 ソフォソは警告します.
SystemBCの機能はランサムウェア攻撃にとって何を意味しますか?
全体, ツールの機能の幅広いスペクターにより、攻撃は発見を実行できます, 浸透, パッケージ化されたスクリプトと実行可能ファイルを使用して、リモートで横方向に移動します. 研究者は、「これらの機能は元々、大量の搾取を目的としていました。, しかし、現在では、ランサムウェアを含む標的型攻撃用のツールキットに組み込まれています。」
幸運, SystemBCは、多くのマルウェア対策ツールで検出できます. でも, 脅威アクターは、「組織全体で一貫性のないマルウェア保護を使用するか、正当な資格情報を利用してマルウェア保護を無効にする」ため、引き続きツールを正常に使用します。
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: