Istraživači kibernetičke sigurnosti bacili su svjetlo na rad servera za komandu i kontrolu (C2) poznate porodice malvera pod nazivom SystemBC.
“SystemBC se može kupiti na podzemnim tržištima i isporučuje se u arhivi koja sadrži implant, komandno-kontrolni (C2) server i portal za web administraciju napisan na PHP-u”, rekao je Kroll u analizi objavljenoj prošle sedmice.
Provajder rješenja za savjetovanje o rizicima i finansijama rekao je da je svjedočio povećanju upotrebe malvera tokom Q2 i Q3 2023.
SystemBC, koji je prvi put uočen u okruženju 2018. godine, omogućava hakerima da daljinski kontrolišu kompromitovani host i isporučuju dodatni sadržaj, uključujući trojance, Cobalt Strike i ransomware. Takođe ima podršku za pokretanje pomoćnih modula u hodu kako bi se proširila njegova osnovna funkcionalnost.
Izvanredan aspekt malvera se vrti oko njegove upotrebe SOCKS5 proksija za maskiranje mrežnog saobraćaja do i od C2 infrastrukture, djelujući kao trajni mehanizam pristupa za post-eksploataciju.
Kupci koji na kraju kupe SystemBC dobijaju instalacioni paket koji uključuje izvršni program za implantaciju, Windows i Linux binarne datoteke za C2 server i PHP datoteku za prikazivanje interfejsa C2 panela, zajedno sa uputstvima na engleskom i ruskom jeziku koja detaljno opisuju korake i komande koje treba sprovesti.
Izvršni C2 serverski fajlovi — “server.exe” za Windows i “server.out” za Linux — dizajnirani su da otvore najmanje tri TCP porta za olakšavanje C2 saobraćaja, međuprocesnu komunikaciju (IPC) između sebe i Interfejs panela zasnovan na PHP-u (obično port 4000), i po jedan za svaki aktivni implant (aka bot).
Serverska komponenta takođe koristi tri druga fajla za snimanje informacija u vezi sa interakcijom implantata kao proxyja i loadera, kao i detalja koji se odnose na žrtve.
Panel zasnovan na PHP-u je, s druge strane, minimalističke prirode i prikazuje listu aktivnih implantata u bilo kom trenutku. Nadalje, djeluje kao kanal za pokretanje shellcode-a i proizvoljnih datoteka na mašini žrtve.
“Funkcija shellcode-a nije ograničena samo na obrnuti shell, već ima i pune daljinske mogućnosti koje se mogu ubrizgati u implantat tokom rada, dok su manje očigledne od pokretanja cmd.exe za obrnuti shell”, rekli su istraživači iz Krolla.
Razvoj dolazi kada je kompanija takođe podijelila analizu ažurirane verzije DarkGate-a (verzija 5.2.3), trojanca za daljinski pristup (RAT) koji omogućava napadačima da u potpunosti kompromituju sisteme žrtava, sifoniraju osjetljive podatke i distribuišu više zlonamjernog softvera.
“Verzija DarkGate-a koja je analizirana miješa Base64 alfabet koji se koristi pri inicijalizaciji programa,” rekao je istraživač sigurnosti Sean Straw. “DarkGate zamjenjuje posljednji znak slučajnim znakom ispred njega, krećući se od pozadi prema naprijed po abecedi.”
Kroll je rekao da je identifikovao slabost u ovoj prilagođenoj Base64 abecedi koja čini trivijalnim dekodiranje konfiguracije na disku i keylogging outputa, koji su kodirani pomoću abecede i pohranjeni u fascikli za eksfiltraciju na sistemu.
“Ova analiza omogućava forenzičkim analitičarima da dekodiraju datoteke konfiguracije i keyloggera bez potrebe da prvo utvrde ID hardvera”, rekao je Straw. “Izlazne datoteke keyloggera sadrže tipke koje je ukrao DarkGate, što može uključivati upisane lozinke, sastavljene e-poruke i druge osjetljive informacije.”
Izvor: The Hacker News