MKD-CIRT National Centre for Computer Incident Response
Новата кампања која дистрибуира RomCom backdoor малвер претставува имитирање на веб-страници на добро познат или измислен софтвер, мамејќи ги корисниците да преземаат и стартуваат малициозни инсталатери.
Последната кампања беше откриена од страна на Trend Micro, кој го следеше RomCom од летото 2022 година. Истражувачите известуваат дека заканите кои стојат зад малициозниот софтвер ја ескалирале неговата евазија користејќи payload шифрирање и ги прошириле можностите на алатката со воведување нови и моќни команди.
Повеќето веб-страници што се користат за дистрибуција на RomCom до жртви се однесуваат на remote desktop апликации за управување, што ја зголемува веројатноста напаѓачите да користат phishing или social engineering за да им пристапат на жртвите.
Првата документирана употреба на RomCom беше пријавена во август 2022 година од страна на Palo Alto Networks, припишувајќи ги нападите на Cuba ransomware што ја нарекоа „Tropical Scorpius“. Trend Micro користи „Void Rabisu“ за да го следи истиот напаѓач.
Во октомври 2022 година, украинскиот CERT-UA објави дека RomCom малвер се користи во напади против критичните мрежи во земјата.
Друг извештај објавен речиси истовремено од BlackBerry тврди дека е поврзан со Cuba ransomware, но ги потврди нападите во Украина, а исто така укажува дека има жртви на малициозен софтвер во САД, Бразил и Филипините.
Следниот извештај на BlackBerry во ноември 2022 година илустрираше како RomCom имитираше легитимен софтвер, вклучувајќи го SolarWinds Network Performance Monitor (NPM), менаџерот за лозинки KeePass и PDF Reader Pro.
Извештајот на Trend Micro за најновата активност на RomCom наведува неколку примери на веб-страници што ги користеле напаѓачите помеѓу декември 2022 и април 2023 година, кои имитираат легитимен софтвер, како Gimp, Go To Meeting, ChatGPT, WinDirStat, AstraChat, System Ninja, Devolutions’ Remote Desktop Manager, и други.
Некои од малициозните страници користени во споменатиот временски период се:
gllmp.com (офлајн) – Го имитира бесплатниот уредувач на слики со отворен код
gotomeet.us (офлајн) – Ја имитира cloud апликацијата за видео состаноци и конференции
singularlabs.org (офлајн) – имитира PC-алатка за чистење
chatgpt4beta.com (онлајн) – ја имитира AI-четбот платформата
astrachats.com (офлајн) – Го имитира безбедниот chat софтвер
devolutionrdp.com (онлајн) – имитира remote desktop алатка за управување
cozy-sofware.com (офлајн) – имитира remote desktop алатка за управување
vectordmanagesoft.com (офлајн) – имитира remote desktop алатка за управување
devolrdm.com (онлајн) – имитира remote desktop алатка за управување
dirwinstat.com (онлајн) – имитира диск прегледувач и алатка за чистење
Овие лажни сајтови се промовираат преку реклами на Google и високо таргетирани phishing-мејлови, а повеќето од жртвите се наоѓаат во Источна Европа.
Веб-страниците дистрибуираат MSI инсталатери кои се имитираат на ветената апликација, но се тројанизирани со малициозна DLL-датотека („InstallA.dll“).
Оваа датотека извлекува уште три DLL во %PUBLIC%\Libraries папката на жртвата, која се справува со command & control сервер комуникациите и извршување на команди.
Најновата верзија на RomCom payload, анализирана од страна на Trend Micro, покажува дека неговите автори работеле на имплементација на дополнителни малициозни команди, при што нивниот број на команди растел од 20 на 42.
Некои од нагласените команди што може да се притиснат на уред инфициран со RomCom се:
Стартувај cmd.exe
Симнете датотека на компјутерот на жртвата за да вметнете повеќе payloads
Поставете процес со PID измама за да изгледа легитимен
Ексфилтрирајте ги податоците од компромитираниот систем
Поставете proxy преку SSH
Ажурирајте го малициозниот софтвер на уредот
Стартувај AnyDesk на скриен прозорец
Компресирајте дадена папка и испратете ја до серверот на напаѓачите.
Овие команди веќе им даваат на напаѓачите широки можности, но компанијата за сајбер-безбедност известува дека видела неколку случаи на дополнителни малициозни payloads кои се инсталирани преку RomCom.
Stealer компонентите преземени од страна на RomCom на компромитирани уреди вклучуваат:
PhotoDirector.dll – Алатка за снимање слики од екранот која ги компресира сликите во ZIP архивите за ексфилтрација
procsys.dll – Веб-прелистувач (Chrome, Firefox, Edge) крадец на колачиња
wallet.exe – Крадец на паричник на криптовалути
msg.dll – Крадец за инстант пораки
FileInfo.dll – Крадец на FTP акредитиви кој поставува податоци на FTP сервер
Креаторите на RomCom сега го користат VMProtect софтверот за заштита на кодот и анти VM способностите. Исто така, користи енкрипција за payload, чиј клуч не е тврдо кодиран, туку земен со надворешна адреса.
Малициозниот софтвер користи нула бајти во својата C2 комуникација за да избегне откривање од алатките за следење на мрежата.
Конечно, софтверот преземен од малициозните веб-страници е потпишан од навидум легитимни компании наводно со седиште во САД и Канада, чии веб-страници се полни со лажна или плагијатна содржина.
RomCom е поврзан со ransomware, шпионажа и војување, а точните цели на неговите креатори остануваат непознати. Како и да е, тоа е сестрана закана што може да предизвика значителна штета.
Trend Micro обезбеди сеопфатна листа на индикатори за компромис (IoCs) за најновата RomCom кампања и Yara правила за да им помогне на бранителите да ги откријат и запрат нападите.
Извор: BleepingComputer