Les chercheurs des Sophos Labs ont suivi un nouvel outil de ransomware disponible sur les forums de piratage souterrains qui a évolué pour devenir un proxy Tor et un outil de contrôle à distance qui est maintenant utilisé dans la nature.
L’outil s’appelle SystemBC et sert de porte dérobée qui fournit aux attaquants une connexion persistante aux systèmes de leurs victimes.
Observé pour la première fois l’année dernière, il agit à la fois comme un proxy réseau pour les communications cachées et comme un outil d’administration à distance (RAT) capable d’exécuter des commandes Windows ainsi que de fournir et d’exécuter des scripts, des exécutables malveillants et des bibliothèques de liens dynamiques (DLL).
SystemBC a évolué au cours de l’année écoulée, passant du rôle de réseau privé virtuel (VPN) via un proxy SOCKS5 à l’utilisation du réseau Tor pour crypter et masquer la destination du trafic de commande et de contrôle.
Sommaire
SystemBC RAT
Au cours de ses récentes enquêtes, l’équipe de réponse rapide de Sophos MTR a vu SystemBC utilisé dans les récentes attaques de ransomwares Ryuk et Egregor, bien qu’il soit souvent utilisé avec d’autres outils post-exploitation tels que Cobalt Strike. Cependant, dans certains cas, le SystemBC RAT a été déployé sur des serveurs après que les attaquants aient eu accès aux informations d’identification administratives et se sont installés plus profondément dans un réseau ciblé.
Une fois déployé, l’outil se copiera et se planifiera en tant que service, mais cette étape sera ignorée si le logiciel antivirus Emsisoft est détecté sur le système d’une victime. SystemBC établit ensuite une connexion à un serveur de commande et de contrôle à l’aide d’une connexion de balise à un serveur distant basé sur l’un des deux domaines codés en dur.
Dans un nouveau billet de blog, le chercheur principal sur les menaces Sean Gallagher et le chercheur sur les menaces Sivagnanam Gn de Sophos ont fourni des informations supplémentaires sur la façon dont SystemBC se connecte désormais au réseau Tor, en déclarant:
«L’élément de communication Tor de SystemBC semble être basé sur mini-tor, une bibliothèque open-source pour une connectivité légère au réseau anonyme Tor. Le code de mini-Tor n’est pas dupliqué dans SystemBC (puisque mini-Tor est écrit en C ++ et SystemBC est compilé à partir de C). Mais l’implémentation du bot du client Tor ressemble étroitement à l’implémentation utilisée dans le programme open-source, y compris son utilisation intensive des fonctions Base Crypto (BCrypt) de l’API Windows Crypto Next Gen (CNG). »
Comme SystemBC est souvent déployé en tant qu’outil standard, il est probable que les attaquants de ransomware l’acquièrent à partir d’opérations de malware en tant que service dans des forums clandestins. L’outil est devenu de plus en plus populaire parmi les cybercriminels en raison du fait qu’il permet de travailler plusieurs cibles en même temps.
Via ZDNet
