Huis > Cyber ​​Nieuws > SystemBC Tor Backdoor – de nieuwe favoriete tool van ransomware-operators
CYBER NEWS

SystemBC Tor Backdoor – de nieuwe favoriete tool van ransomware-operators

door   |  Last Update:  |  0 Reacties  

systemBC achterdeurSophos-beveiligingsonderzoekers hebben zojuist nieuwe informatie vrijgegeven over de SystemBC-tool die wordt gebruikt bij meerdere ransomware-aanvallen.

Vergelijkbare benaderingen in hoe de tool wordt gebruikt, kunnen betekenen dat een of meer ransomware-as-a-service-filialen deze hebben geïmplementeerd. SystemBC is een achterdeur die een permanente verbinding met gerichte systemen biedt.

Evolutie van de SystemBC-tool

SystemBC, voor het eerst ontdekt in 2019, heeft een ontwikkeling doorgemaakt. De tool is gebruikt als een proxy en een RAT (extern administratief hulpprogramma), in staat om Windows-opdrachten uit te voeren. Andere mogelijkheden zijn het uitvoeren van scripts, kwaadaardige uitvoerbare, en DLL-bestanden. Zodra SystemBC op het systeem is neergezet, het maakt een achterdeurverbinding met aanvallers mogelijk.




De nieuwste voorbeelden van de tool laten zien dat deze in ontwikkeling is. Deze voorbeelden bevatten code die het Tor-netwerk gebruikt om de bestemming van het command-and-control-verkeer te versleutelen en te verbergen. De onderzoekers zijn getuige geweest van "honderden pogingen tot SystemBC-implementaties wereldwijd." Ransomware-campagnes van Ryuk en Egregor families gebruikten de tool in combinatie met post-exploitatietools zoals Cobalt Strike. "In sommige gevallen, de SystemBC RAT is op servers geïmplementeerd nadat de aanvallers beheerdersreferenties hebben verkregen en diep in het beoogde netwerk zijn binnengedrongen,'Zegt Sophos.

SystemBC's Tor-component

De Tor-component in de tool is gebaseerd op mini-tor, een open-sourcebibliotheek voor lichtgewicht connectiviteit met het netwerk van Tor.

De code van mini-Tor wordt niet gedupliceerd in SystemBC (aangezien mini-Tor is geschreven in C ++ en SystemBC is gecompileerd vanuit C). Maar de implementatie door de bot van de Tor-client lijkt sterk op de implementatie die wordt gebruikt in het open-sourceprogramma, inclusief het uitgebreide gebruik van de Windows Crypto Next Gen (CNG) API's Base Crypto (BCrypt) functies, het rapport onthult.

Andere schadelijke mogelijkheden

Eenmaal uitgevoerd vanaf een geplande taak, de bot verzamelt specifieke systeeminformatie, slaat het op in een buffer, en stuurt het via Tor naar de command-and-control-server. De verzamelde informatie omvat het volgende:

  • Actieve Windows-gebruikersnaam
  • Windows-buildnummer voor het geïnfecteerde systeem
  • Een WOW-procescontrole (om te bepalen of het systeem 32-bits of 64-bits is)
  • Volume serienummer.

Bovendien, de bot-operators kunnen de command-and-control-server inzetten om verschillende payloads terug te sturen naar het geïnfecteerde systeem voor uitvoering. “SystemBC kan EXE- of DLL-gegevensblobs die via de Tor-verbinding worden doorgegeven, ontleden en uitvoeren, shell-code, VBS scripts, Windows-opdrachten en batch-scripts, en PowerShell-scripts," Sophos waarschuwt.

Wat betekenen de mogelijkheden van SystemBC voor ransomwareaanvallen??

Overall, het brede spectrum van de mogelijkheden van de tool stelt aanvallen in staat detectie uit te voeren, exfiltratie, en laterale verplaatsing op afstand met behulp van verpakte scripts en uitvoerbare bestanden. De onderzoekers zeggen dat “deze capaciteiten oorspronkelijk bedoeld waren voor massale exploitatie, maar ze zijn nu samengevouwen in de toolkit voor gerichte aanvallen, waaronder ransomware. "

Gelukkig, SystemBC kan worden gedetecteerd door veel antimalwaretools. Echter, bedreigingsactoren blijven de tool met succes gebruiken omdat ze "inconsistente malwarebescherming binnen organisaties gebruiken of legitieme inloggegevens gebruiken om malwarebescherming uit te schakelen".

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Gerelateerde berichten:
  1. SystemBC malware - Hoe het te verwijderen Wat is SystemBC? How to remove SystemBC Malware from your...
  2. Tor Browser kunnen gebruikers het web surfen anoniem Verschillende bronnen, waaronder de websites BoingBoing en PCWorld, hebben...
  3. .bot Virus File (Dharma Ransomware) – Hoe het te verwijderen Wat is .bot bestand virus? The virus is also known...
  4. Onion.to Tor-to-Web steelt van Ransomware Operators en slachtoffers Stelen van Ransomware Operators en Ransomware Slachtoffers? Mission Possible, Zegt...
  5. Tor-browserversie 10.0.18 Lost kwetsbaarheid voor gebruikerstracking op Als u de Tor-browser gebruikt, je zou moeten krijgen...
  6. Opmerking Mini Mac verwijderen What Is Note Mini Mac Note Mini is the name...
  7. Facebook Vergemakkelijkt de toegang tot zijn Social Network voor Tor Hidden Services Gebruikers Op oktober, 31 last week Facebook announced that they are...
  8. Tor Browser Gebruikers Fingerprinting: Mission Possible Voor veel gebruikers, Tor is the online version of a...

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens