Търсене
Close this search box.

Атакуваха срещата на WPL в Брюксел чрез RomCom

Нов, олекотен вариант на задната врата RomCom беше използван срещу участниците в срещата на върха на жените политически лидери (WPL) в Брюксел – среща на върха, посветена на равенството между половете и жените в политиката.

Кампанията използва фалшив уебсайт, имитиращ официалния портал на WPL, за да примами хора, които искат да участват или просто се интересуват от срещата на върха.

В доклад на Trend Micro, анализиращ новия вариант, се предупреждава, че неговите оператори, проследени от фирмата като „Void Rabisu“, са използвали по-скрита задна врата с нова техника за прилагане на TLS в комуникациите C2 (командване и контрол), за да затруднят откриването.

Освен това последната атака затвърждава прехода на групата от опортюнистични атаки с рансъмуер, които преди се приписваха на филиал на Куба, към кампания за кибератаки на високо ниво, включваща използването на уязвимости от нулев ден в продукти на Microsoft.

Насочване към жени политически лидери

През август 2023 г. Void Rabisu създава злонамерен уебсайт на адрес „wplsummit[.]com“, предназначен да имитира истинския уебсайт на жените политически лидери (WPL), хостван на wplsummit.org.

Fake WPL Summit website

Фалшив уебсайт на срещата на върха на WPL  Източник: Trend Micro

Фалшивият сайт е свързан с папка в OneDrive чрез бутон, наречен „Видеоклипове и снимки“, която съдържа снимки от двата дни на събитието, взети от истинския сайт, и програма за изтегляне на зловреден софтуер, наречена „Непубликувани снимки“.

Files hosted on OneDrive

Файлове, хоствани в OneDrive (Trend Micro)

Зловредният изпълним файл е подписан със сертификат на Elbor LLC и представлява саморазгъващ се архив, съдържащ 56 снимки, които действат като примамки, докато втори криптиран файл се изтегля от отдалечен хост.

Genuine images from the event are contained in the archive

Оригинални снимки от събитието се съдържат в архива Източник: Trend Micro

Вторият полезен товар е DLL, който се декриптира и зарежда в паметта, за да избегне откриване, и продължава да извлича допълнителни компоненти, необходими за установяване на комуникация със сървъра на нападателя.

XOR-encrypted payload

 

RomCom 4.0

Trend Micro идентифицира последния, орязан вариант на RomCom като четвъртата основна версия на backdoor, като обяснява, че това е същият зловреден софтуер, който изследователите на Volexity наскоро нарекоха „Peapod“.

В сравнение с RomCom 3.0, предишната версия, наблюдавана в операциите на Void Rabisu, новият вариант на backdoor е претърпял значителни промени, което го прави по-лек и по-скрит.

Сега той поддържа само следните десет команди, което е значително намаление в сравнение с предишните 42.

  • Без действие – функцията за обработка връща нула; зловредният софтуер изчаква следващата команда.
  • Изпълнение на команда – Изпълнява команда и изпраща обратно нейния изход.
  • Качване на файл – Качва файл на компрометираната машина.
  • Изтегляне на файл – Извлича файл от заразената машина.
  • Изпълнение на команда – Изпълнява дадена команда.
  • Интервал на актуализиране – Променя честотата на проверка на задната врата (по подразбиране 60 секунди) и актуализира системния регистър.
  • Get system info (Получаване на системна информация) – Извлича оперативната памет, процесора, локалното време и потребителското име.
  • Update network component (Актуализиране на мрежовия компонент) – Актуализира данните за мрежовия компонент в системния регистър на Windows.
  • Деинсталиране – Изчиства съответните ключове от системния регистър и изтрива свързаните файлове.
  • Получаване на името на услугата от регистъра на Windows

Освен това, вместо да използва модифицирани MSI, за да пусне компонентите си директно в устройствата, новият вариант използва EXE файл, за да изтегли криптирани с XOR DLL, като зарежда всички компоненти в паметта.

В RomCom 4.0 са включени и нови функции, свързани със сигурността на транспортния слой (TLS) – протокол, предназначен да осигури сигурна комуникация със сървъра C2.

Зловредният софтуер е кодиран така, че да принуждава функциите на WinHTTP да използват специално версията TLS 1.2, вместо да позволява на операционната система да избере версията TLS по подразбиране.

Тази система за прилагане води до грешка в Windows 7, която Trend Micro счита за защитена от най-новия вариант на RomCom.

Целта на този механизъм вероятно е да направи C2 комуникацията по-устойчива на шпиониране, да усложни автоматичното откриване и евентуално да позволи на нападателите да филтрират неподходящите жертви.

Като цяло тактиката на Void Rabisu и разгръщането на зловредния софтуер RomCom остават неясни.

Ясно е обаче, че разработката на бекдора все още продължава, а операторите му са все по-фокусирани върху кибершпионаж на най-високо ниво.

Trend Micro заключава, че е много вероятно Void Rabisu да се насочи към всички големи конференции, свързани с групи със специални интереси, затова се препоръчва повишено внимание при посещение на сайтовете на събитията.

 

Източник: По материали от Интернет

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
Бъдете социални
Още по темата
22/03/2024

Над 800 npm пакети с несъот...

Ново изследване откри над 800 пакета...
22/03/2024

Проект за център за данни о...

Френската компания Data4, която стои зад...
21/03/2024

Защита на изборите в ЕС в у...

Първият сборник за киберсигурността на изборите...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!