SystemBC: кибергруппы автоматизируют доставку полезной нагрузки с помощью вредоносного ПО

отредактировано February 2021 Раздел: Вирусы & Антивирусы
SystemBC, массовое вредоносное ПО, продаваемое на подпольных торговых площадках, используется операциями «программа-вымогатель как услуга» (RaaS) для сокрытия вредоносного трафика и автоматизации доставки полезной нагрузки программ-вымогателей в сети скомпрометированных жертв.

Вредоносная программа, впервые обнаруженная в 2018 году и использованная в нескольких кампаниях 2019 года в качестве «виртуальной частной сети», позволила кибергруппам вымогателей и их филиалам развернуть постоянный бэкдор в системах целей в виде прокси-сервера Tor SOCKS5.

Это помогло им создать запутанные каналы связи для автоматизированного размещения и доставки полезной нагрузки программ-вымогателей, а также для кражи данных.

Используется и Ryuk и Egregor

Согласно информации, собранной исследователями Sophos при расследовании недавних атак программ-вымогателей Ryuk и Egregor, SystemBC был задействован во всех их атаках в течение последних месяцев.

«Мы все чаще видим, как операторы программ-вымогателей передают на аутсорсинг развертывание программ-вымогателей аффилированным лицам, использующим стандартные вредоносные программы и инструменты атак», - сказал исследователь безопасности Sophos Шон Галлахер в отчете, который был заранее предоставлен BleepingComputer.

«SystemBC является регулярной частью последних наборов инструментов злоумышленников - Sophos обнаружил сотни попыток развертывания SystemBC по всему миру за последние несколько месяцев».

Ryuk развертывает SystemBC на контроллере домена вместе с помощью нескольких штаммов вредоносного ПО, включая Buer Loader, BazarLoader и Zloader, в то время как операторы Egregor предпочли использовать программу для кражи информации Qbot.

SystemBC%20in%20Ryuk%20attack.jpg

Автоматическое развертывание полезной нагрузки

Операторы программ-вымогателей используют этот постоянный бэкдор в качестве инструмента удаленного администрирования (RAT) вместе с инструментом пост-эксплуатации Cobalt Strike на этапе бокового перемещения своих атак после получения доступа к сетям жертв.

SystemBC также используется в качестве специального инструмента сохранения и выполнения для автоматизации различных задач, включая развертывание программ-вымогателей на конечных точках сети после утечки украденных данных.

Злоумышленники также используют его для выполнения команд на зараженных устройствах Windows, отправленных через соединение Tor, а также для доставки вредоносных сценариев, библиотек динамической компоновки (DLL) и сценариев, которые запускаются автоматически, не требуя ручного вмешательства оператора.

Хотя эти возможности автоматизации изначально были разработаны для использования в атаках с массовым использованием, операции RaaS настроили их для массового развертывания в сети единичных жертв.

SystemBC.jpg

Это позволяет операторам программ-вымогателей управлять атаками, нацеленными на нескольких жертв одновременно, «позволяя автоматизировать развертывание программ-вымогателей с использованием встроенных инструментов Windows, если злоумышленники получают надлежащие учетные данные».

Несмотря на то, что некоторые средства защиты от вредоносных программ Windows обнаруживают и блокируют попытки развертывания SystemBC, банды вымогателей по-прежнему могут размещать их в сетях своих целей, используя законные учетные данные, украденные на начальных этапах их атак, или пользуясь преимуществами менее эффективных антивирусных решений.

«Использование нескольких инструментов в атаках типа« программа-вымогатель как услуга »создает все более разнообразный профиль атаки, который специалистам по ИТ-безопасности труднее предсказать и с которым справиться», - сказал Галлахер.

«Глубокая защита, обучение сотрудников и поиск угроз с привлечением человека необходимы для обнаружения и блокирования таких атак».

https://www.bleepingcomputer.com/news/security/ransomware-gangs-automate-payload-delivery-with-systembc-malware/

Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.