Нов, олекотен вариант на задната врата RomCom беше използван срещу участниците в срещата на върха на жените политически лидери (WPL) в Брюксел – среща на върха, посветена на равенството между половете и жените в политиката.
Кампанията използва фалшив уебсайт, имитиращ официалния портал на WPL, за да примами хора, които искат да участват или просто се интересуват от срещата на върха.
В доклад на Trend Micro, анализиращ новия вариант, се предупреждава, че неговите оператори, проследени от фирмата като „Void Rabisu“, са използвали по-скрита задна врата с нова техника за прилагане на TLS в комуникациите C2 (командване и контрол), за да затруднят откриването.
Освен това последната атака затвърждава прехода на групата от опортюнистични атаки с рансъмуер, които преди се приписваха на филиал на Куба, към кампания за кибератаки на високо ниво, включваща използването на уязвимости от нулев ден в продукти на Microsoft.
Насочване към жени политически лидери
През август 2023 г. Void Rabisu създава злонамерен уебсайт на адрес „wplsummit[.]com“, предназначен да имитира истинския уебсайт на жените политически лидери (WPL), хостван на wplsummit.org.
Фалшив уебсайт на срещата на върха на WPL Източник: Trend Micro
Фалшивият сайт е свързан с папка в OneDrive чрез бутон, наречен „Видеоклипове и снимки“, която съдържа снимки от двата дни на събитието, взети от истинския сайт, и програма за изтегляне на зловреден софтуер, наречена „Непубликувани снимки“.
Файлове, хоствани в OneDrive (Trend Micro)
Зловредният изпълним файл е подписан със сертификат на Elbor LLC и представлява саморазгъващ се архив, съдържащ 56 снимки, които действат като примамки, докато втори криптиран файл се изтегля от отдалечен хост.
Оригинални снимки от събитието се съдържат в архива Източник: Trend Micro
Вторият полезен товар е DLL, който се декриптира и зарежда в паметта, за да избегне откриване, и продължава да извлича допълнителни компоненти, необходими за установяване на комуникация със сървъра на нападателя.
Trend Micro идентифицира последния, орязан вариант на RomCom като четвъртата основна версия на backdoor, като обяснява, че това е същият зловреден софтуер, който изследователите на Volexity наскоро нарекоха „Peapod“.
В сравнение с RomCom 3.0, предишната версия, наблюдавана в операциите на Void Rabisu, новият вариант на backdoor е претърпял значителни промени, което го прави по-лек и по-скрит.
Сега той поддържа само следните десет команди, което е значително намаление в сравнение с предишните 42.
Освен това, вместо да използва модифицирани MSI, за да пусне компонентите си директно в устройствата, новият вариант използва EXE файл, за да изтегли криптирани с XOR DLL, като зарежда всички компоненти в паметта.
В RomCom 4.0 са включени и нови функции, свързани със сигурността на транспортния слой (TLS) – протокол, предназначен да осигури сигурна комуникация със сървъра C2.
Зловредният софтуер е кодиран така, че да принуждава функциите на WinHTTP да използват специално версията TLS 1.2, вместо да позволява на операционната система да избере версията TLS по подразбиране.
Тази система за прилагане води до грешка в Windows 7, която Trend Micro счита за защитена от най-новия вариант на RomCom.
Целта на този механизъм вероятно е да направи C2 комуникацията по-устойчива на шпиониране, да усложни автоматичното откриване и евентуално да позволи на нападателите да филтрират неподходящите жертви.
Като цяло тактиката на Void Rabisu и разгръщането на зловредния софтуер RomCom остават неясни.
Ясно е обаче, че разработката на бекдора все още продължава, а операторите му са все по-фокусирани върху кибершпионаж на най-високо ниво.
Trend Micro заключава, че е много вероятно Void Rabisu да се насочи към всички големи конференции, свързани с групи със специални интереси, затова се препоръчва повишено внимание при посещение на сайтовете на събитията.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.