Para peneliti di Sophos Labs (terbuka di tab baru) telah melacak alat ransomware baru yang tersedia di forum peretasan bawah tanah yang telah berkembang menjadi Tor (terbuka di tab baru) alat proxy dan remote control yang sekarang digunakan di alam liar.
Alat ini disebut SystemBC dan berfungsi sebagai pintu belakang yang memberikan penyerang koneksi terus-menerus ke sistem korban mereka.
Pertama kali diamati tahun lalu, ini bertindak sebagai proxy jaringan untuk komunikasi tersembunyi dan sebagai alat administrasi jarak jauh (RAT) yang mampu mengeksekusi perintah Windows serta mengirimkan dan mengeksekusi skrip, perpustakaan tautan dinamis (DLL) yang dapat dieksekusi dan berbahaya.
SystemBC telah berkembang selama setahun terakhir dari bertindak sebagai jaringan pribadi virtual (VPN (terbuka di tab baru)) melalui proxy SOCKS5 untuk menggunakan jaringan Tor untuk mengenkripsi dan menyembunyikan tujuan lalu lintas perintah dan kontrol.
SistemBC RAT
Selama penyelidikan baru-baru ini, tim Rapid Response Sophos MTR telah melihat SystemBC digunakan di Ryuk baru-baru ini. (terbuka di tab baru) dan Egregor (terbuka di tab baru) serangan ransomware, meskipun sering digunakan bersama alat pasca-eksploitasi lainnya seperti Cobalt Strike (terbuka di tab baru). Namun, dalam beberapa kasus, RAT SystemBC disebarkan ke server setelah penyerang memperoleh akses ke kredensial administratif dan berpindah lebih dalam ke jaringan yang ditargetkan.
Saat digunakan, alat akan menyalin dan menjadwalkan dirinya sendiri sebagai layanan tetapi langkah ini akan dilewati jika perangkat lunak antivirus Emsisoft (terbuka di tab baru) terdeteksi pada sistem korban. SystemBC kemudian membuat koneksi ke server perintah dan kontrol menggunakan koneksi suar ke server jarak jauh yang berbasis di salah satu dari dua domain hard-coded.
Dalam posting blog baru (terbuka di tab baru)peneliti ancaman senior Sean Gallagher dan peneliti ancaman Sivagnanam Gn di Sophos memberikan wawasan lebih lanjut tentang bagaimana SystemBC sekarang terhubung ke jaringan Tor, mengatakan:
“Elemen komunikasi Tor dari SystemBC tampaknya didasarkan pada mini-tor, pustaka sumber terbuka untuk konektivitas ringan ke jaringan anonim Tor. Kode mini-Tor tidak diduplikasi di SystemBC (karena mini-Tor ditulis dalam C++ dan SystemBC dikompilasi dari C). Tetapi implementasi bot klien Tor sangat mirip dengan implementasi yang digunakan dalam program sumber terbuka, termasuk penggunaan ekstensif fungsi Base Crypto (BCrypt) Windows Crypto Next Gen (CNG) API.”
Karena SystemBC sering digunakan sebagai alat siap pakai, ada kemungkinan penyerang ransomware memperolehnya dari malware-as-a-service (terbuka di tab baru) operasi di forum bawah tanah. Alat ini menjadi semakin populer di kalangan penjahat dunia maya karena memungkinkan beberapa target untuk bekerja pada saat yang bersamaan.
Melalui ZDNet (terbuka di tab baru)