Μια νέα παραλλαγή του RomCom backdoor χρησιμοποιήθηκε σε επιθέσεις εναντίον συμμετεχόντων στη Σύνοδο Κορυφής της Women Political Leaders (WPL) στις Βρυξέλλες, μια σύνοδο κορυφής που επικεντρώνεται στην ισότητα των φύλων και τις γυναίκες στην πολιτική.
Η κακόβουλη καμπάνια χρησιμοποίησε έναν ψεύτικο ιστότοπο που μιμούνταν το επίσημο WPL portal για να προσελκύσει άτομα που ήθελαν να παρευρεθούν ή απλώς ενδιαφέρονταν για τη σύνοδο κορυφής.
Μια αναφορά της Trend Micro που αναλύει τη νέα παραλλαγή του RomCom backdoor προειδοποιεί ότι οι χειριστές της, οι οποίοι παρακολουθούνται από την εταιρεία ως “Void Rabisu“, έχουν φτιάξει ένα πιο εξελιγμένο backdoor με μια νέα τεχνική TLS-enforcement στις επικοινωνίες C2, για να κάνουν πιο δύσκολη την ανακάλυψη.
Επίσης, η τελευταία επίθεση δείχνει τη μετατόπιση της ομάδας από ευκαιριακές επιθέσεις ransomware (που αποδίδονταν προηγουμένως σε affiliate του Cuba ransomware) σε εκστρατείες κυβερνοκατασκοπείας, που περιλαμβάνουν την εκμετάλλευση zero-day ευπαθειών σε προϊόντα της Microsoft.
Ghost: Εξάρθρωση της πλατφόρμας κρυπτογραφημένων επικοινωνιών
Δείτε επίσης: DarkGate malware: Διανομή μέσω παραβιασμένων Skype λογαριασμών
Στο στόχαστρο γυναίκες πολιτικοί
Τον Αύγουστο του 2023, η ομάδα Void Rabisu δημιούργησε έναν κακόβουλο ιστότοπο στη διεύθυνση “wplsummit[.]com“. Ο ιστότοπος μιμούνταν τον πραγματικό ιστότοπο της Women Political Leaders (WPL) που φιλοξενείται στο wplsummit.org.
Ο ψεύτικος ιστότοπος συνδέθηκε με έναν φάκελο του OneDrive μέσω ενός κουμπιού με το όνομα “Videos & photos“, που περιείχε φωτογραφίες από το event. Αυτό το υλικό είχε ληφθεί από τον αυθεντικό ιστότοπο. Ωστόσο, μαζί με τις φωτογραφίες, υπήρχε και ένα πρόγραμμα λήψης του κακόβουλου λογισμικού με το όνομα “Unpublished Pictures“.
Το κακόβουλο εκτελέσιμο αρχείο είναι ένα αρχείο self-extracting που περιέχει 56 φωτογραφίες που λειτουργούν ως δόλωμα. Ταυτόχρονα, ένα δεύτερο κρυπτογραφημένο αρχείο λαμβάνεται από έναν απομακρυσμένο κεντρικό υπολογιστή.
Αυτό το δεύτερο αρχείο είναι ένα DLL που αποκρυπτογραφείται και φορτώνεται στη μνήμη για να αποφευχθεί ο εντοπισμός. Αυτό, στη συνέχεια, ανακτά πρόσθετα στοιχεία που απαιτούνται για τη δημιουργία επικοινωνίας με τον διακομιστή του εισβολέα.
RomCom 4.0 backdoor
Η Trend Micro προσδιορίζει την πιο πρόσφατη παραλλαγή του RomCom ως την τέταρτη σημαντική έκδοση του backdoor. Πρόκειται για το ίδιο κακόβουλο λογισμικό που οι ερευνητές της Volexity ονόμασαν πρόσφατα “Peapod“.
Δείτε επίσης: ToddyCat: Χρησιμοποιεί “disposable” malware για επιθέσεις
Η νέα παραλλαγή έχει υποστεί σημαντικές αλλαγές, που την καθιστούν πιο “ελαφριά”, αλλά αρκετά επικίνδυνη.
Τώρα υποστηρίζει τις ακόλουθες δέκα εντολές, ενώ η προηγούμενη έκδοση υποστήριζε 42:
- No action – Η συνάρτηση handling επιστρέφει μηδέν. Το κακόβουλο λογισμικό περιμένει την επόμενη εντολή.
- Run command – Εκτελεί μια εντολή και στέλνει πίσω το output.
- Upload file – Μεταφορτώνει ένα αρχείο στο παραβιασμένο μηχάνημα.
- Download file – Κατεβάζει ένα αρχείο από το μολυσμένο μηχάνημα.
- Run command – Εκτελεί μια δεδομένη εντολή.
- Update interval – Τροποποιεί τη συχνότητα ελέγχου στο backdoor (προεπιλογή 60 δευτερόλεπτα) και ενημερώνει το μητρώο συστήματος.
- Get system info – Ανακτά τη μνήμη RAM, τον επεξεργαστή, την τοπική ώρα και το όνομα χρήστη.
- Update network component – Ενημερώνει δεδομένα για το network component από το Windows registry.
- Uninstall – Εκκαθαρίζει τα σχετικά registry keys και διαγράφει τα σχετικά αρχεία.
- Get service name από το μητρώο των Windows
Επίσης, αντί να χρησιμοποιεί τροποποιημένα MSI για την απευθείας απόθεση των components σε συσκευές, η νέα παραλλαγή αξιοποιεί ένα αρχείο EXE για να φέρει XOR-encrypted DLLs, φορτώνοντας όλα τα components του στη μνήμη.
Το RomCom 4.0 έχει επίσης ενσωματώσει νέες δυνατότητες που σχετίζονται με το Transport Layer Security (TLS), ένα πρωτόκολλο σχεδιασμένο να παρέχει ασφαλή επικοινωνία με τον διακομιστή C2.
Το κακόβουλο λογισμικό έχει κωδικοποιηθεί για να αναγκάσει τις λειτουργίες του WinHTTP να χρησιμοποιούν συγκεκριμένα την έκδοση TLS 1.2, αντί να επιτρέπεται στο λειτουργικό σύστημα να επιλέξει την προεπιλεγμένη έκδοση TLS.
Ο στόχος αυτού του μηχανισμού είναι πιθανό να καταστήσει την επικοινωνία C2 πιο ανθεκτική στην κατασκοπεία, να περιπλέξει την αυτοματοποιημένη ανακάλυψη και πιθανώς να επιτρέψει στους εισβολείς να φιλτράρουν ακατάλληλα θύματα.
Σε γενικές γραμμές, οι τακτικές που χρησιμοποιεί η ομάδα Void Rabisu και η ανάπτυξη του RomCom backdoor δεν είναι εντελώς ξεκάθαρα. Απ’ ό,τι φαίνεται η ανάπτυξη του backdoor είναι ακόμη σε εξέλιξη και οι χειριστές του επικεντρώνονται όλο και περισσότερο στην κατασκοπεία στον κυβερνοχώρο.
Δείτε επίσης: Shadow: Προειδοποιεί για παραβίαση δεδομένων πελατών
Κατανόηση του backdoor malware
Τα backdoor είναι μια μορφή κακόβουλου λογισμικού που επιτρέπει σε έναν επιτιθέμενο να λάβει τον έλεγχο του συστήματος ενός χρήστη και να αποκτήσει απομακρυσμένη πρόσβαση. Τα backdoor εκμεταλλεύονται συχνά τις αδυναμίες στο λειτουργικό σύστημα ή τα εγκατεστημένα προγράμματα, δημιουργώντας μια “πόρτα” για τον εισβολέα να εισέλθει και να λάβει τον έλεγχο.
Προηγμένες τεχνικές backdoor
Οι hackers εξελίσσουν συνεχώς τις τεχνικές των backdoors τους. Οι επιθέσεις μπορούν να εκμεταλλευτούν τις ευπάθειες των συστημάτων, να χρησιμοποιήσουν την κρυπτογράφηση για να κρύψουν την παρουσία τους, ή να ενσωματώσουν τις δικές τους ρουτίνες αυτόματης ανάλυσης για να παρατηρήσουν και να παρακολουθήσουν τις δραστηριότητες του χρήστη.
Προστασία
Η άμυνα ενάντια στη μόλυνση από backdoor περιλαμβάνει τη δράση και την πρόληψη. Εγκαταστήστε αξιόπιστο λογισμικό προστασίας από ιούς, διατηρήστε τα συστήματα και τα λογισμικά ενημερωμένα για να διορθώσετε πιθανές ευπάθειες και εκπαιδεύστε τους χρήστες στην αναγνώριση των σημαδιών των επιθέσεων.
Πηγή: www.bleepingcomputer.com
