Търсене
Close this search box.

Нов, олекотен вариант на задната врата RomCom беше използван срещу участниците в срещата на върха на жените политически лидери (WPL) в Брюксел – среща на върха, посветена на равенството между половете и жените в политиката.

Кампанията използва фалшив уебсайт, имитиращ официалния портал на WPL, за да примами хора, които искат да участват или просто се интересуват от срещата на върха.

В доклад на Trend Micro, анализиращ новия вариант, се предупреждава, че неговите оператори, проследени от фирмата като „Void Rabisu“, са използвали по-скрита задна врата с нова техника за прилагане на TLS в комуникациите C2 (командване и контрол), за да затруднят откриването.

Освен това последната атака затвърждава прехода на групата от опортюнистични атаки с рансъмуер, които преди се приписваха на филиал на Куба, към кампания за кибератаки на високо ниво, включваща използването на уязвимости от нулев ден в продукти на Microsoft.

Насочване към жени политически лидери

През август 2023 г. Void Rabisu създава злонамерен уебсайт на адрес „wplsummit[.]com“, предназначен да имитира истинския уебсайт на жените политически лидери (WPL), хостван на wplsummit.org.

Fake WPL Summit website

Фалшив уебсайт на срещата на върха на WPL  Източник: Trend Micro

Фалшивият сайт е свързан с папка в OneDrive чрез бутон, наречен „Видеоклипове и снимки“, която съдържа снимки от двата дни на събитието, взети от истинския сайт, и програма за изтегляне на зловреден софтуер, наречена „Непубликувани снимки“.

Files hosted on OneDrive

Файлове, хоствани в OneDrive (Trend Micro)

Зловредният изпълним файл е подписан със сертификат на Elbor LLC и представлява саморазгъващ се архив, съдържащ 56 снимки, които действат като примамки, докато втори криптиран файл се изтегля от отдалечен хост.

Genuine images from the event are contained in the archive

Оригинални снимки от събитието се съдържат в архива Източник: Trend Micro

Вторият полезен товар е DLL, който се декриптира и зарежда в паметта, за да избегне откриване, и продължава да извлича допълнителни компоненти, необходими за установяване на комуникация със сървъра на нападателя.

XOR-encrypted payload

 

RomCom 4.0

Trend Micro идентифицира последния, орязан вариант на RomCom като четвъртата основна версия на backdoor, като обяснява, че това е същият зловреден софтуер, който изследователите на Volexity наскоро нарекоха „Peapod“.

В сравнение с RomCom 3.0, предишната версия, наблюдавана в операциите на Void Rabisu, новият вариант на backdoor е претърпял значителни промени, което го прави по-лек и по-скрит.

Сега той поддържа само следните десет команди, което е значително намаление в сравнение с предишните 42.

  • Без действие – функцията за обработка връща нула; зловредният софтуер изчаква следващата команда.
  • Изпълнение на команда – Изпълнява команда и изпраща обратно нейния изход.
  • Качване на файл – Качва файл на компрометираната машина.
  • Изтегляне на файл – Извлича файл от заразената машина.
  • Изпълнение на команда – Изпълнява дадена команда.
  • Интервал на актуализиране – Променя честотата на проверка на задната врата (по подразбиране 60 секунди) и актуализира системния регистър.
  • Get system info (Получаване на системна информация) – Извлича оперативната памет, процесора, локалното време и потребителското име.
  • Update network component (Актуализиране на мрежовия компонент) – Актуализира данните за мрежовия компонент в системния регистър на Windows.
  • Деинсталиране – Изчиства съответните ключове от системния регистър и изтрива свързаните файлове.
  • Получаване на името на услугата от регистъра на Windows

Освен това, вместо да използва модифицирани MSI, за да пусне компонентите си директно в устройствата, новият вариант използва EXE файл, за да изтегли криптирани с XOR DLL, като зарежда всички компоненти в паметта.

В RomCom 4.0 са включени и нови функции, свързани със сигурността на транспортния слой (TLS) – протокол, предназначен да осигури сигурна комуникация със сървъра C2.

Зловредният софтуер е кодиран така, че да принуждава функциите на WinHTTP да използват специално версията TLS 1.2, вместо да позволява на операционната система да избере версията TLS по подразбиране.

Тази система за прилагане води до грешка в Windows 7, която Trend Micro счита за защитена от най-новия вариант на RomCom.

Целта на този механизъм вероятно е да направи C2 комуникацията по-устойчива на шпиониране, да усложни автоматичното откриване и евентуално да позволи на нападателите да филтрират неподходящите жертви.

Като цяло тактиката на Void Rabisu и разгръщането на зловредния софтуер RomCom остават неясни.

Ясно е обаче, че разработката на бекдора все още продължава, а операторите му са все по-фокусирани върху кибершпионаж на най-високо ниво.

Trend Micro заключава, че е много вероятно Void Rabisu да се насочи към всички големи конференции, свързани с групи със специални интереси, затова се препоръчва повишено внимание при посещение на сайтовете на събитията.

 

Източник: По материали от Интернет

Подобни публикации

2 декември 2024

Две болници в Англия са засегнати от кибератаки...

Миналата седмица две болници на Националната здравна служба (NHS) в...
2 декември 2024

Арестуваха Михаил Павлович Матвеев

Руските власти съобщават, че са арестували Михаил Павлович Матвеев,...
2 декември 2024

6 ключови действия за спазване на разпоредбите ...

NIS2, PCI DSS, GDPR, HIPAA или CMMC… този дълъг списък от сък...
2 декември 2024

Микролайнерът на този стартъп обещава по-евтин ...

Годината беше трудна за стартиращите компании за въздушни таксита. ...
1 декември 2024

Evil Twin WiFi Attack: Ръководство "Стъпка по с...

Добре дошли в задълбоченото изследване на WiFi атаките на злите бли...
1 декември 2024

Клуб от италианската Серия А стана жертва на ра...

Футболен клуб „Болоня 1909“ потвърди, че е претърпял атака с цел от...
30 ноември 2024

Загубите от хакове и измами с криптовалути прод...

През ноември загубите на криптовалута от хакове и измами  отново на...
Бъдете социални
Още по темата
18/11/2024

Фалшиви реклами на Bitwarde...

Фалшиви реклами на мениджъра на пароли...
17/11/2024

10- те най- големи киберата...

Най-големите кибератаки и нарушения на сигурността...
05/11/2024

Конференция на ENISA за уст...

Основната тема на конференцията беше разширяването...
Последно добавени
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
02/12/2024

Арестуваха Михаил Павлович ...

Руските власти съобщават, че са арестували...
02/12/2024

6 ключови действия за спазв...

NIS2, PCI DSS, GDPR, HIPAA или...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!