Des chercheurs de Sophos ont récemment remarqué que les opérateurs de plusieurs familles de ransomwares utilisaient une porte dérobée nommée SystemBC, qui fournit aux attaquants une connexion aux appareils compromis et qui utilise le réseau d’anonymat Tor pour masquer les communications de commande et de contrôle (C&C).
Initialement observé en 2019, SystemBC permet un accès permanent au système, offrant aux attaquants des moyens de dissimuler les communications et de contrôler à distance les appareils infectés.
Conçue avec la prise en charge de l’exécution de commandes et pour permettre aux adversaires de télécharger et d’exécuter des scripts, des exécutables et des DLL, la porte dérobée évolue en permanence, des exemples récents étant passés de la création d’un proxy SOCKS5 à l’utilisation du réseau Tor à des fins de communication.
Au cours des derniers mois, les chercheurs de Sophos ont identifié des centaines d’attaques utilisant SystemBC, certaines d’entre elles étant de récentes attaques de rançongiciels Ryuk et Egregor, dans lesquelles la porte dérobée a été déployée en combinaison avec d’autres outils post-exploitation, y compris Cobalt Strike.
Dans certains cas, la porte dérobée a été déployée après que les attaquants aient pu compromettre les comptes administratifs et pénétrer profondément dans le réseau.
Pour la persistance, le logiciel malveillant se copie dans un dossier du répertoire ProgramData et planifie la copie en tant que tâche qui est lancée à l’aide de la commande «start», en tant que service planifié. Il recherche un processus associé au logiciel anti-malware d’Emsisoft et ignore la création du service si le processus est trouvé.
La plupart des communications avec le serveur C&C sont effectuées via une connexion Tor, en utilisant une implémentation ressemblant étroitement à la bibliothèque open-source mini-tor.
Lorsqu’il est exécuté à partir de la tâche planifiée, le logiciel malveillant collecte des informations telles que le nom d’utilisateur Windows actif, le numéro de version du système d’exploitation, l’architecture du système (32 bits ou 64 bits) et le numéro de série du volume, et les envoie chiffrées au C&C. Ça aussi…
