近，我们向客户推送了一份报告，介绍了网络犯罪恶意软件集的一个有趣且常见的组件——SystemBC。与2021年Darkside Colonial Pipeline事件类似，我们发现了一个新的SystemBC变种被部署到一个关键基础设施目标上。这次，可代理的后门与南非某国家的关键基础设施中的Cobalt Strike信标一起被部署。

Kim Zetter在她的BlackHat 2022主题演讲“Pre-Stuxnet, Post-Stuxnet: Everything Has Changed, Nothing Has Changed”中对之前的Colonial Pipeline事件进行了回顾，并称其为“分水岭时刻”，同时我们在世界其他地方也看到了和目标战术上的相似之处。

关于勒索软件攻击的内容和趋势分析报道已比较常见，但关于特定电力系统勒索软件事件的技术细节却很少被公开披露。我们知道，在全球范围内被调查的公共事业单位发现，越来越多地以有针对性的活动方式进行报道：“56%的受访者报告在过去12个月中至少发生过一次涉及隐私信息丢失或OT环境中断的攻击”。虽然并非所有活动都是由勒索软件攻击者造成的，但相关的勒索软件攻击者正在避免受到强大政府机构和联盟的报复。无论如何，这种增加的公用事业目标攻击事件是一个现实世界的问题，特别是对网络中断可能在全国范围内影响客户的区域，具有严重的潜在风险。

值得注意的是，一名不明身份的攻击者使用Cobalt Strike信标和DroxiDat（SystemBC有效载荷的新变种)对南非一个电力公司进行了定向攻击。该攻击发生在2023年3月下旬，是涉及世界各地DroxiDat和CobaltStrike beacons的袭击的一小部分事件。在这个电力公司中还检测到了DroxiDat，它是SystemBC的一个约8kb的精简变体，用作系统分析和简单支持SOCKS5的bot。该电力公司的C2基础设施涉及一个与能源相关的域名”powersupportplan.com”，其已解析到一个已经可疑的IP主机。该主机在几年前曾被用作APT活动的一部分，其增加了APT相关目标攻击的可能性。目前勒索软件还没有被交付给该组织，因此我们没有足够的信息来对这次活动进行准确归因。然而，同一时间范围内的一个医疗事件中，也涉及到了DroxiDat，Nokoyawa勒索软件被交付，另外还有其他几起涉及CobaltStrike的事件，它们共享了相同的license_id和staging目录及C2。

更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3007/

消息来源：securelist，封面来自网络，译者：知道创宇404实验室翻译组。

本文由 HackerNews.cc 翻译整理。

转载请注明“转自 HackerNews.cc ” 并附上原文链接。