Los investigadores de Kroll han descubierto el servidor de comando y control de la familia de malware SystemBC. Esta amenaza para la ciberseguridad se puede adquirir en mercados clandestinos como un archivo que contiene el implante, el servidor C2 y un portal de administración web escrito en PHP. El malware SystemBC permite que los actores de amenazas controlen de forma remota los hosts comprometidos y liberan cargas adicionales, incluyendo troyanos, Cobalt Strike y ransomware. Un aspecto destacado de este malware es el uso de proxies SOCKS5 para enmascarar el tráfico de red hacia y desde la infraestructura C2, lo que brinda acceso persistente para la post-explotación. Los clientes que adquieren SystemBC reciben un paquete de instalación que incluye el ejecutable del implante, binarios de Windows y Linux para el servidor C2, y un archivo PHP para mostrar la interfaz de panel del C2.
El panel basado en PHP es minimalista por naturaleza y muestra una lista de implantes activos en cualquier momento dado. Además, actúa como conducto para ejecutar shellcode y archivos arbitrarios en una máquina víctima. Los investigadores de Kroll informan que la funcionalidad de shellcode no se limita solo a un reverse shell, sino que también incluye capacidades remotas completas que pueden ser inyectadas en el implante en tiempo de ejecución, lo que es menos obvio.
En otras noticias de seguridad cibernética, Kroll también analizó una versión actualizada de DarkGate, un troyano de acceso remoto que permite a los atacantes comprometer completamente los sistemas de las víctimas, extraer datos sensibles y distribuir más malware. La versión de DarkGate que se analizó reorganiza el alfabeto Base64 en uso en la inicialización del programa, lo que permite a los analistas forenses decodificar los archivos de configuración y keylogger sin necesidad de determinar primero la ID de hardware. Los archivos de salida de keylogger contienen pulsaciones de teclado robadas por DarkGate.
