Нов, олекотен вариант на задната врата RomCom беше използван срещу участниците в срещата на върха на жените политически лидери (WPL) в Брюксел – среща на върха, посветена на равенството между половете и жените в политиката.

Кампанията използва фалшив уебсайт, имитиращ официалния портал на WPL, за да примами хора, които искат да участват или просто се интересуват от срещата на върха.

В доклад на Trend Micro, анализиращ новия вариант, се предупреждава, че неговите оператори, проследени от фирмата като „Void Rabisu“, са използвали по-скрита задна врата с нова техника за прилагане на TLS в комуникациите C2 (командване и контрол), за да затруднят откриването.

Освен това последната атака затвърждава прехода на групата от опортюнистични атаки с рансъмуер, които преди се приписваха на филиал на Куба, към кампания за кибератаки на високо ниво, включваща използването на уязвимости от нулев ден в продукти на Microsoft.

Насочване към жени политически лидери

През август 2023 г. Void Rabisu създава злонамерен уебсайт на адрес „wplsummit[.]com“, предназначен да имитира истинския уебсайт на жените политически лидери (WPL), хостван на wplsummit.org.

Фалшив уебсайт на срещата на върха на WPL  Източник: Trend Micro

Фалшивият сайт е свързан с папка в OneDrive чрез бутон, наречен „Видеоклипове и снимки“, която съдържа снимки от двата дни на събитието, взети от истинския сайт, и програма за изтегляне на зловреден софтуер, наречена „Непубликувани снимки“.

Файлове, хоствани в OneDrive (Trend Micro)

Зловредният изпълним файл е подписан със сертификат на Elbor LLC и представлява саморазгъващ се архив, съдържащ 56 снимки, които действат като примамки, докато втори криптиран файл се изтегля от отдалечен хост.

Оригинални снимки от събитието се съдържат в архива Източник: Trend Micro

Вторият полезен товар е DLL, който се декриптира и зарежда в паметта, за да избегне откриване, и продължава да извлича допълнителни компоненти, необходими за установяване на комуникация със сървъра на нападателя.

RomCom 4.0

Trend Micro идентифицира последния, орязан вариант на RomCom като четвъртата основна версия на backdoor, като обяснява, че това е същият зловреден софтуер, който изследователите на Volexity наскоро нарекоха „Peapod“.

В сравнение с RomCom 3.0, предишната версия, наблюдавана в операциите на Void Rabisu, новият вариант на backdoor е претърпял значителни промени, което го прави по-лек и по-скрит.

Сега той поддържа само следните десет команди, което е значително намаление в сравнение с предишните 42.

• Без действие – функцията за обработка връща нула; зловредният софтуер изчаква следващата команда.
• Изпълнение на команда – Изпълнява команда и изпраща обратно нейния изход.
• Качване на файл – Качва файл на компрометираната машина.
• Изтегляне на файл – Извлича файл от заразената машина.
• Изпълнение на команда – Изпълнява дадена команда.
• Интервал на актуализиране – Променя честотата на проверка на задната врата (по подразбиране 60 секунди) и актуализира системния регистър.
• Get system info (Получаване на системна информация) – Извлича оперативната памет, процесора, локалното време и потребителското име.
• Update network component (Актуализиране на мрежовия компонент) – Актуализира данните за мрежовия компонент в системния регистър на Windows.
• Деинсталиране – Изчиства съответните ключове от системния регистър и изтрива свързаните файлове.
• Получаване на името на услугата от регистъра на Windows

Освен това, вместо да използва модифицирани MSI, за да пусне компонентите си директно в устройствата, новият вариант използва EXE файл, за да изтегли криптирани с XOR DLL, като зарежда всички компоненти в паметта.

В RomCom 4.0 са включени и нови функции, свързани със сигурността на транспортния слой (TLS) – протокол, предназначен да осигури сигурна комуникация със сървъра C2.

Зловредният софтуер е кодиран така, че да принуждава функциите на WinHTTP да използват специално версията TLS 1.2, вместо да позволява на операционната система да избере версията TLS по подразбиране.

Тази система за прилагане води до грешка в Windows 7, която Trend Micro счита за защитена от най-новия вариант на RomCom.

Целта на този механизъм вероятно е да направи C2 комуникацията по-устойчива на шпиониране, да усложни автоматичното откриване и евентуално да позволи на нападателите да филтрират неподходящите жертви.

Като цяло тактиката на Void Rabisu и разгръщането на зловредния софтуер RomCom остават неясни.

Ясно е обаче, че разработката на бекдора все още продължава, а операторите му са все по-фокусирани върху кибершпионаж на най-високо ниво.

Trend Micro заключава, че е много вероятно Void Rabisu да се насочи към всички големи конференции, свързани с групи със специални интереси, затова се препоръчва повишено внимание при посещение на сайтовете на събитията.