Исследователи кибербезопасности пролили свет на командно-контрольный сервер (C2) известного семейства вредоносных программ под названием SystemBC.
"SystemBC можно приобрести на подпольных торговых площадках и поставляется в архиве, содержащем имплантат, сервер командования и управления (C2) и портал веб-администрирования, написанный на PHP", - сказал Кролл в анализе, опубликованном на прошлой неделе.
Поставщик решений для консультирования по рискам и финансовым вопросам заявил, что стал свидетелем роста использования вредоносного ПО во втором и третьем кварталах 2023 года.
SystemBC, впервые обнаруженный в дикой природе в 2018 году, позволяет субъектам угрозы удаленно управлять скомпрометированным хостом и доставлять дополнительные полезные нагрузки, включая трояны, Cobalt Strike и программы-вымогатели. В нем также реализована поддержка запуска вспомогательных модулей "на лету" для расширения его основных функциональных возможностей.
Отличительный аспект вредоносного ПО связан с использованием прокси-серверов SOCKS5 для маскировки сетевого трафика, поступающего в инфраструктуру C2 и исходящего из нее, действуя как механизм постоянного доступа для последующей эксплуатации.
Клиентам, которые в конечном итоге приобретают SystemBC, предоставляется установочный пакет, включающий исполняемый файл implant, двоичные файлы Windows и Linux для C2-сервера и PHP-файл для отображения интерфейса панели C2, а также инструкции на английском и русском языках с подробным описанием шагов и команд для запуска.
Исполняемые файлы C2-сервера ... "server.exe " для Windows и "server.out" для Linux - предназначены для открытия не менее трех TCP-портов для облегчения трафика C2, межпроцессной связи (IPC) между собой и панельным интерфейсом на основе PHP (обычно порт 4000) и по одному для каждого активного имплантанта (он же бот).
Серверный компонент также использует три других файла для записи информации о взаимодействии имплантата в качестве прокси-сервера и загрузчика, а также деталей, относящихся к жертвам.
Панель на основе PHP, с другой стороны, минималистична по своей природе и отображает список активных имплантатов в любой данный момент времени. Более того, оно действует как канал для запуска шелл-кода и произвольных файлов на компьютере жертвы.
"Функциональность шеллкода не ограничена только обратной оболочкой, но также обладает полными удаленными возможностями, которые могут быть внедрены в имплантат во время выполнения, при этом они менее очевидны, чем при создании cmd.exe для обратной оболочки ", - сказали исследователи Kroll.
Разработка произошла после того, как компания также поделилась анализом обновленной версии DarkGate (версия 5.2.3), троянца удаленного доступа (RAT), который позволяет злоумышленникам полностью компрометировать системы жертв, перекачивать конфиденциальные данные и распространять больше вредоносного ПО.
"В проанализированной версии DarkGate алфавит Base64, используемый при инициализации программы, перемешивается", - сказал исследователь безопасности Шон Стро. "DarkGate заменяет последний символ случайным символом перед ним, перемещаясь с конца на начало в алфавите".
Компания Kroll заявила, что выявила слабое место в этом пользовательском алфавите Base64, которое упрощает расшифровку конфигурации на диске и выходных данных кейлоггинга, которые кодируются с использованием алфавита и хранятся в папке exfiltration в системе.
"Этот анализ позволяет криминалистам расшифровывать файлы конфигурации и кейлоггера без необходимости предварительного определения идентификатора оборудования", - сказал Стро. "Выходные файлы кейлоггера содержат нажатия клавиш, украденные DarkGate, которые могут включать введенные пароли, составленные электронные письма и другую конфиденциальную информацию".
"SystemBC можно приобрести на подпольных торговых площадках и поставляется в архиве, содержащем имплантат, сервер командования и управления (C2) и портал веб-администрирования, написанный на PHP", - сказал Кролл в анализе, опубликованном на прошлой неделе.
Поставщик решений для консультирования по рискам и финансовым вопросам заявил, что стал свидетелем роста использования вредоносного ПО во втором и третьем кварталах 2023 года.
SystemBC, впервые обнаруженный в дикой природе в 2018 году, позволяет субъектам угрозы удаленно управлять скомпрометированным хостом и доставлять дополнительные полезные нагрузки, включая трояны, Cobalt Strike и программы-вымогатели. В нем также реализована поддержка запуска вспомогательных модулей "на лету" для расширения его основных функциональных возможностей.
Отличительный аспект вредоносного ПО связан с использованием прокси-серверов SOCKS5 для маскировки сетевого трафика, поступающего в инфраструктуру C2 и исходящего из нее, действуя как механизм постоянного доступа для последующей эксплуатации.
Клиентам, которые в конечном итоге приобретают SystemBC, предоставляется установочный пакет, включающий исполняемый файл implant, двоичные файлы Windows и Linux для C2-сервера и PHP-файл для отображения интерфейса панели C2, а также инструкции на английском и русском языках с подробным описанием шагов и команд для запуска.
Исполняемые файлы C2-сервера ... "server.exe " для Windows и "server.out" для Linux - предназначены для открытия не менее трех TCP-портов для облегчения трафика C2, межпроцессной связи (IPC) между собой и панельным интерфейсом на основе PHP (обычно порт 4000) и по одному для каждого активного имплантанта (он же бот).
Серверный компонент также использует три других файла для записи информации о взаимодействии имплантата в качестве прокси-сервера и загрузчика, а также деталей, относящихся к жертвам.
Панель на основе PHP, с другой стороны, минималистична по своей природе и отображает список активных имплантатов в любой данный момент времени. Более того, оно действует как канал для запуска шелл-кода и произвольных файлов на компьютере жертвы.
"Функциональность шеллкода не ограничена только обратной оболочкой, но также обладает полными удаленными возможностями, которые могут быть внедрены в имплантат во время выполнения, при этом они менее очевидны, чем при создании cmd.exe для обратной оболочки ", - сказали исследователи Kroll.
Разработка произошла после того, как компания также поделилась анализом обновленной версии DarkGate (версия 5.2.3), троянца удаленного доступа (RAT), который позволяет злоумышленникам полностью компрометировать системы жертв, перекачивать конфиденциальные данные и распространять больше вредоносного ПО.
"В проанализированной версии DarkGate алфавит Base64, используемый при инициализации программы, перемешивается", - сказал исследователь безопасности Шон Стро. "DarkGate заменяет последний символ случайным символом перед ним, перемещаясь с конца на начало в алфавите".
Компания Kroll заявила, что выявила слабое место в этом пользовательском алфавите Base64, которое упрощает расшифровку конфигурации на диске и выходных данных кейлоггинга, которые кодируются с использованием алфавита и хранятся в папке exfiltration в системе.
"Этот анализ позволяет криминалистам расшифровывать файлы конфигурации и кейлоггера без необходимости предварительного определения идентификатора оборудования", - сказал Стро. "Выходные файлы кейлоггера содержат нажатия клавиш, украденные DarkGate, которые могут включать введенные пароли, составленные электронные письма и другую конфиденциальную информацию".
