SystemBCマルウェアリードはペイロード配信を自動化します
SystemBCは、2018年に最初に発見され、2019年のいくつかのキャンペーンで仮想プライベートネットワークとして使用され、現在、攻撃者がRaaS操作で悪意のあるトラフィックを隠し、ランサムウェアのペイロード配信を自動化するために使用されていることが判明しています。
このマルウェアは、悪意のある作成者がTor SOCKS5プロキシの形式で永続性バックドアを展開し、通信チャネルを難読化してランサムウェアのペイロード配信を自動化するのに役立ちます。
ソフォスの研究者は、最近のRyukおよびEgregorランサムウェア攻撃を調査しているときに、先月発生した攻撃にSystemBCが導入されていることを確認しました。
ソフォスのセキュリティ研究者であるSeanGallagher氏は、次のように述べています。過去数か月にわたって世界中で」
Ryukは、Buer Loader、Bazar Loader、またはその他の悪意のあるマルウェア株を介してSystemBCを展開しましたが、EgregorはQbot情報スティーラーを優先しました。
ランサムウェアのオペレーターは、永続性ペイロードをリモートアクセス/管理ツールとして使用し、Cobaltストライクポストエクスプロイトツールを使用して被害者のネットワークにアクセスします。また、このマルウェアは、盗まれたデータのエクスフィルトレーションが行われた後、ネットワークエンドポイントでのランサムウェアの展開に使用されます。
また、マルウェアは、Tor接続を介して送信された感染したWindowsデバイスでコマンドを実行し、悪意のあるスクリプト、DLL、およびユーザーの介入なしに自動的に実行されるスクリプトを配信するために使用されます。
Gallagher氏は、「サービスとしてのランサムウェア攻撃で複数のツールを使用すると、ITセキュリティチームが予測して対処するのが困難な、これまで以上に多様な攻撃プロファイルが作成されます。多層防御、従業員教育、および人間ベースこのような攻撃を検出してブロックするには、脅威のハンティングが不可欠です。」