Μια νέα παραλλαγή του κακόβουλου λογισμικού RomCom που ονομάζεται SnipBot, έχει χρησιμοποιηθεί σε επιθέσεις που περιστρέφονται στο δίκτυο για να κλέψουν δεδομένα από παραβιασμένα συστήματα.
Δίκτυο του Palo Alto Οι ερευνητές της ενότητας 42 ανακάλυψαν η νέα έκδοση του κακόβουλου λογισμικού μετά την ανάλυση μιας μονάδας DLL που χρησιμοποιείται σε επιθέσεις SnipBot.
Οι τελευταίες καμπάνιες SnipBot φαίνεται να στοχεύουν μια ποικιλία θυμάτων σε διάφορους τομείς, συμπεριλαμβανομένων των υπηρεσιών πληροφορικής, των νομικών και της γεωργίας, για την κλοπή δεδομένων και την περιστροφή στο δίκτυο.
Πηγή: Ενότητα 42
Ανάπτυξη RomCom
Το RomCom είναι μια κερκόπορτα που χρησιμοποιήθηκε για την παράδοση ransomware της Κούβας σε πολλαπλές καμπάνιες κακόβουλης διαφήμισης [1, 2]καθώς και για στοχευμένες λειτουργίες phishing [1, 2].
Η προηγούμενη κυκλοφορία του, που ονομάστηκε RomCom 4.0 από τους ερευνητές της Trend Micro στα τέλη του 2023, ήταν πιο ελαφριά και πιο κρυφή σε σύγκριση με προηγούμενες παραλλαγές, αλλά διατήρησε ένα ισχυρό σύνολο εντολών.
Οι δυνατότητες του RomCom 4.0 περιλάμβαναν την εκτέλεση εντολών, την κλοπή αρχείων, την απόρριψη νέων ωφέλιμων φορτίων, την τροποποίηση του μητρώου των Windows και τη χρήση του πιο ασφαλούς πρωτοκόλλου TLS για επικοινωνίες εντολών και ελέγχου (C2).
Το SnipBot, το οποίο η Μονάδα 42 θεωρεί ότι είναι το RomCom 5.0, χρησιμοποιεί ένα εκτεταμένο σύνολο 27 εντολών.
Αυτές οι εντολές δίνουν στον χειριστή πιο λεπτομερή έλεγχο των λειτουργιών εξαγωγής δεδομένων, επιτρέποντας τον καθορισμό συγκεκριμένων τύπων αρχείων ή καταλόγων προς στόχευση, συμπίεση των κλεμμένων δεδομένων χρησιμοποιώντας το εργαλείο αρχειοθέτησης αρχείων 7-Zip και επίσης εισάγοντας ωφέλιμα φορτία αρχειοθέτησης που θα εξάγονται στον κεντρικό υπολογιστή για υπεκφυγή.
Επιπλέον, το SnipBot χρησιμοποιεί τώρα συσκότιση ροής ελέγχου βάσει μηνυμάτων παραθύρου, διαιρώντας τον κώδικά του σε μπλοκ που ενεργοποιούνται διαδοχικά από προσαρμοσμένα μηνύματα παραθύρου.
Οι νέες τεχνικές anti-sandboxing περιλαμβάνουν ελέγχους κατακερματισμού στην εκτελέσιμη και δημιουργημένη διαδικασία και επαλήθευση της ύπαρξης τουλάχιστον 100 καταχωρήσεων στα “Πρόσφατα Έγγραφα” και 50 δευτερευόντων κλειδιών στα κλειδιά μητρώου “Shell Bags”.
Αξίζει επίσης να αναφέρουμε ότι η κύρια λειτουργική μονάδα του SnipBot, “single.dll”, αποθηκεύεται σε κρυπτογραφημένη μορφή στο μητρώο των Windows από όπου φορτώνεται στη μνήμη. Πρόσθετες λειτουργικές μονάδες που λαμβάνονται από τον διακομιστή C2, όπως το “keyprov.dll”, αποκρυπτογραφούνται επίσης και εκτελούνται στη μνήμη.
Διανύσματα επίθεσης
Η μονάδα 42 μπόρεσε να ανακτήσει τεχνουργήματα επίθεσης από υποβολές VirusTotal, κάτι που τους επέτρεψε να επιστρέψουν στον αρχικό φορέα μόλυνσης για το SnipBot.
Συνήθως, αυτό ξεκινά με μηνύματα ηλεκτρονικού ψαρέματος που περιέχουν συνδέσμους για λήψη φαινομενικά αβλαβών αρχείων, όπως έγγραφα PDF, που έχουν δημιουργηθεί για να παρασύρουν τον παραλήπτη να κάνει κλικ στον σύνδεσμο.
Οι ερευνητές περιγράφουν επίσης ένα ελαφρώς παλαιότερο αρχικό διάνυσμα που περιλαμβάνει έναν ψεύτικο ιστότοπο της Adobe από όπου το θύμα υποτίθεται ότι θα κατεβάσει μια γραμματοσειρά που λείπει για να μπορεί να διαβάσει το συνημμένο αρχείο PDF.
Κάτι τέτοιο ενεργοποιεί μια σειρά ανακατευθύνσεων σε πολλούς τομείς που βρίσκονται υπό τον έλεγχο του εισβολέα (“fastshare[.]κλικ,” “docstorage[.]σύνδεσμος” και “δημόσια κοινή χρήση[.]σύνδεσμος”), παρέχοντας τελικά ένα κακόβουλο εκτελέσιμο πρόγραμμα λήψης από πλατφόρμες κοινής χρήσης αρχείων όπως το “temp[.]sh”.
Πηγή: Ενότητα 42
Τα προγράμματα λήψης συχνά υπογράφονται χρησιμοποιώντας νόμιμα πιστοποιητικά, ώστε να μην ενεργοποιούνται προειδοποιήσεις από τα εργαλεία ασφαλείας του θύματος κατά την ανάκτηση εκτελέσιμων αρχείων DLL από το C2.
Μια κοινή τακτική για τη φόρτωση αυτών των ωφέλιμων φορτίων είναι η χρήση της αεροπειρατείας COM για την έγχυση τους στο “explorer.exe”, το οποίο πέτυχε επίσης σταθερότητα μεταξύ των επανεκκινήσεων του συστήματος.
Πηγή: Ενότητα 42
Μετά την παραβίαση ενός συστήματος, ο παράγοντας απειλής συλλέγει πληροφορίες σχετικά με το εταιρικό δίκτυο και τον ελεγκτή τομέα. Στη συνέχεια, κλέβουν συγκεκριμένους τύπους αρχείων από τους καταλόγους Documents, Downloads και OneDrive.
Η ενότητα 42 λέει ότι ακολουθεί μια δεύτερη φάση ανακάλυψης χρησιμοποιώντας το βοηθητικό πρόγραμμα AD Explorer που επιτρέπει την προβολή και την επεξεργασία του Active Directory (AD) καθώς και την πλοήγηση στη βάση δεδομένων AD.
Τα στοχευμένα δεδομένα εξάγονται χρησιμοποιώντας το πρόγραμμα-πελάτη PuTTY Secure Copy μετά την αρχειοθέτησή τους με το WinRAR.
Οι ερευνητές λένε ότι ο στόχος του επιτιθέμενου παραμένει ασαφής λόγω του συνόλου των θυμάτων που στοχεύουν στις επιθέσεις SnipBot και RomCom, αλλά υποψιάζονται ότι ο στόχος του δράστη απειλής έχει μετακινηθεί από το οικονομικό κέρδος σε επιχειρήσεις κατασκοπείας.
VIA: bleepingcomputer.com
