SystemBC恶意软件线索导致有效负载交付自动化

SystemBC是一种恶意软件，最早可追溯到2018年，并在2019年的多个活动中用作虚拟专用网，现已发现攻击者在其RaaS操作中使用它来隐藏恶意流量并自动执行勒索软件有效载荷交付。

该恶意软件可帮助恶意作者以Tor SOCKS5代理的形式部署持久性后门，并模糊通信渠道以实现勒索软件有效载荷的自动交付。

Sophos研究人员在调查最近的Ryuk和Egregor勒索软件攻击时，观察到SystemBC已被部署在上个月发生的攻击中。

Sophos安全研究人员Sean Gallagher说：“我们越来越多地看到勒索软件运营商使用商品恶意软件和攻击工具将勒索软件的部署外包给关联公司。SystemBC是最近勒索软件攻击者工具包中的固定部分-Sophos已检测到数百次尝试的SystemBC部署最近几个月在全球范围内。”

Ryuk通过Buer Loader，Bazar Loader或其他恶意恶意软件菌株部署了SystemBC，而Egregor则首选Qbot信息窃取程序。

勒索软件运营商将持久性有效负载用作Cobalt罢工后开发工具的远程访问/管理工具，以访问受害者的网络。此外，在完成对被盗数据的过滤之后，该恶意软件还用于在网络端点上部署勒索软件。

此外，该恶意软件还用于在通过Tor连接发送的受感染Windows设备上执行命令，并提供恶意脚本，DLLS和无需用户干预即可自动执行的脚本。

Gallagher表示：“在勒索软件即服务攻击中使用多种工具可创建更加多样化的攻击模式，IT安全团队更难以预测和应对。威胁搜寻对于检测和阻止此类攻击至关重要。”