De C2-serveranalyse van SystemBC Malware legt trucs voor het leveren van payloads bloot

Cybersecurity-onderzoekers hebben licht geworpen op de command-and-control (C2)-server van een bekende malwarefamilie genaamd SysteemBC.

“SystemBC kan worden gekocht op ondergrondse marktplaatsen en wordt geleverd in een archief met het implantaat, een command-and-control (C2) server en een webbeheerportaal geschreven in PHP”, zei Kroll in een analyse die vorige week werd gepubliceerd.

De aanbieder van risico- en financiële adviesoplossingen zei dat het in het tweede en derde kwartaal van 2023 getuige is geweest van een toename van het gebruik van malware.

SystemBC, dat in 2018 voor het eerst in het wild werd waargenomen, stelt bedreigingsactoren in staat een gecompromitteerde host op afstand te besturen en extra ladingen te leveren, waaronder trojans, Cobalt Strike en ransomware. Het biedt ook ondersteuning voor het direct lanceren van aanvullende modules om de kernfunctionaliteit uit te breiden.

Een opvallend aspect van de malware draait om het gebruik van SOCKS5-proxy’s om netwerkverkeer van en naar de C2-infrastructuur te maskeren, en fungeert als een persistent toegangsmechanisme voor post-exploitatie.

Klanten die uiteindelijk SystemBC kopen, krijgen een installatiepakket met het uitvoerbare bestand van het implantaat, Windows- en Linux-binaire bestanden voor de C2-server en een PHP-bestand voor het weergeven van de C2-paneelinterface, naast instructies in het Engels en Russisch waarin de stappen en opdrachten gedetailleerd worden beschreven. rennen.

De uitvoerbare bestanden van de C2-server – “server.exe” voor Windows en “server.out” voor Linux – zijn ontworpen om niet minder dan drie TCP-poorten te openen voor het faciliteren van C2-verkeer, inter-process communication (IPC) tussen zichzelf en de PHP-gebaseerde paneelinterface (meestal poort 4000), en één voor elk actief implantaat (ook wel bot genoemd).

De servercomponent maakt ook gebruik van drie andere bestanden om informatie vast te leggen over de interactie van het implantaat als proxy en lader, evenals details met betrekking tot de slachtoffers.

Het op PHP gebaseerde paneel is daarentegen minimalistisch van aard en geeft op elk gewenst moment een lijst met actieve implantaten weer. Bovendien fungeert het als kanaal om shellcode en willekeurige bestanden op een slachtoffermachine uit te voeren.

“De shellcode-functionaliteit is niet alleen beperkt tot een omgekeerde shell, maar heeft ook volledige mogelijkheden op afstand die tijdens runtime in het implantaat kunnen worden geïnjecteerd, terwijl dit minder voor de hand ligt dan het spawnen van cmd.exe voor een omgekeerde shell”, aldus Kroll-onderzoekers.

De ontwikkeling komt omdat het bedrijf ook een analyse deelde van een bijgewerkte versie van DarkGate (versie 5.2.3), een trojan voor externe toegang (RAT) waarmee aanvallers slachtoffersystemen volledig kunnen compromitteren, gevoelige gegevens kunnen overhevelen en meer malware kunnen verspreiden.

“De versie van DarkGate die werd geanalyseerd, schudt het Base64-alfabet dat werd gebruikt bij de initialisatie van het programma”, aldus beveiligingsonderzoeker Sean Straw. “DarkGate verwisselt het laatste teken met een willekeurig teken ervoor, en beweegt van achteren naar voren in het alfabet.”

Kroll zei dat het een zwak punt in dit aangepaste Base64-alfabet heeft geïdentificeerd, waardoor het triviaal is om de configuratie op de schijf en de keylogging-uitvoer te decoderen, die zijn gecodeerd met behulp van het alfabet en zijn opgeslagen in een exfiltratiemap op het systeem.

“Deze analyse stelt forensische analisten in staat de configuratie- en keylogger-bestanden te decoderen zonder eerst de hardware-ID te hoeven bepalen”, aldus Straw. “De keylogger-uitvoerbestanden bevatten toetsaanslagen die door DarkGate zijn gestolen, waaronder getypte wachtwoorden, opgestelde e-mails en andere gevoelige informatie.”

Thijs Van der Does