RomCom siber casusluk kötü amaçlı yazılımı çılgına dönmüş Ukrayna ordusu ve destekçileri tarafından geçen yıl yeniden ortaya çıkan yeni bir varyant. Geçerli kod imzalama sertifikalarını kullanarak radarın altında uçuyor ve saldırganların çok aşamalı bir saldırıda bir kurbanın sistemine komutlar yürütmesine ve ek kötü amaçlı dosyalar indirmesine olanak sağlıyor.
Palo Alto’daki 42. Ünite’deki araştırmacılar tarafından SnipBot olarak adlandırılan varyantın, Aralık ayından bu yana yayıldığı ve RomCom’un son sürümünün kaldığı yerden devam ettiği ortaya çıktı. analizde bu hafta yayınlandı. Kötü amaçlı yazılım RomCom 3.0’a dayanıyor, ancak aynı zamanda daha önce görülen teknikleri de paylaşıyor Romantik Komedi 4.0orijinalin 5.0 versiyonunu oluşturuyor RomCom uzaktan erişim Truva Atı (RAT) ailesi.
RomCom’un arkasındaki aktöre yönelik daha önceki saldırılar — aynı zamanda hedef alınmıştı Ukrayna’nın destekçileri — siber casusluk faaliyetlerine ek olarak sıklıkla fidye yazılımı yüklerini de içeriyordu. Ancak, Unit 42 artık kötü amaçlı yazılımın arkasındaki saldırganların finansal kazançtan uzaklaşıp yalnızca istihbarat toplamaya odaklandığına inanıyor, gönderiye göre.
Yine de Unit 42’den Yaron Samuel ve Dominik Reichel analizde, “Bilgi teknolojileri hizmetleri, hukuk ve tarım gibi sektörlerdeki kuruluşları da içeren hedeflenen kurbanların çeşitliliği göz önüne alındığında saldırganın niyetlerini anlamak zor” diye yazdı.
E-posta İlk Romantik Komedi Saldırısını Başlattı
SnipBot ilk olarak PDF olarak gizlenen yürütülebilir bir indirilebilir dosyada veya bir kurbana bir yürütülebilir dosyaya yönlendiren bir kimlik avı e-postasında gönderilen gerçek bir PDF dosyasında görünür. Araştırmacılar, kötü amaçlı yazılımın “saldırganın kurbanın sisteminde komutlar çalıştırmasına ve ek modüller indirmesine olanak tanıyan temel bir özellik seti” içerdiğini yazdı.
PDF dosyası, doğru şekilde gösterilebilmesi için gereken bir yazı tipinin eksik olduğunu belirten bozuk metin gösteriyor.
Araştırmacılar, “Mağdur, yazı tipi paketini indirip yüklediği iddia edilen bağlantıya tıklarsa, bunun yerine SnipBot indiricisini indirecektir” diye yazdı.
Kötü amaçlı yazılımın kendisi birkaç aşamadan oluşur ve yürütülebilir dosyanın ardından daha fazla yürütülebilir dosya veya DLL dosyası olan kalan yükler gelir. Dahası, araştırmacılar kötü amaçlı yazılımın indiricisinin her zaman meşru ve geçerli bir kod imzalama sertifikasıyla imzalandığını belirtti.
“Tehdit aktörlerinin bu sertifikaları nasıl elde ettiğini bilmiyoruz, ancak bunları çalmaları veya dolandırıcılık yoluyla elde etmeleri muhtemel” diyorlar ve ilk SnipBot kötü amaçlı yazılımının sonraki modüllerinin imzalanmadığını da ekliyorlar.
SnipBot’un Enfeksiyon Vektörü
Bahsedildiği gibi, SnipBot’u ileten indirici, muhtemelen çalınmış veya sahte bir sertifika ile imzalanmış ve ayrıca pencere mesajı tabanlı bir kontrol akışı karartma algoritması ile karartılmış; kötü amaçlı yazılımın kodu, özel pencere mesajları tarafından tetiklenen birden fazla sırasız bloğa bölünmüş.
Araştırmacılar, indiricinin ayrıca “iki basit ama etkili” anti-sandbox hilesi kullandığını yazdı. “Birincisi, karma işlem adını sabit kodlanmış bir değerle karşılaştırarak orijinal dosya adını kontrol ediyor”, ikincisi ise belirli bir Microsoft Windows kayıt defterinde en az 100 giriş olup olmadığını kontrol ediyor, “bu genellikle normal bir kullanıcının sisteminde böyledir ancak bir sandbox sisteminde böyle olma olasılığı daha düşüktür” diye yazdılar.
Çalıştırma sırasında, indirici çeşitli komut ve kontrol (C2) alanlarıyla iletişim kurarak bir PDF dosyasını ve ardından enfekte olmuş makineye sonraki yükleri alır, bunlardan ilki casus yazılım yeteneği sağlar. Sonuç olarak, SnipBot’un ana modülü saldırgana bir kurbanın sisteminde komut satırı, yükleme ve indirme yeteneklerinin yanı sıra C2’den ek yükleri indirme ve yürütme yeteneği sağlar.
42. Ünite ayrıca şirketin iç ağı hakkında bilgi toplamayı amaçlayan enfeksiyon sonrası faaliyetlerin yanı sıra kurbanın belgelerinden, indirmelerinden ve OneDrive klasörlerinden farklı dosyaların bir listesini saldırgan tarafından kontrol edilen harici bir sunucuya sızdırma girişimlerine de tanık oldu.
Romantik Komedi Hala Aktif Bir Tehdit
RomCom’u kullanan tehdit aktörü en az 2022’den beri aktif ve fidye yazılımı, gasp ve hedefli kimlik bilgisi toplama gibi çeşitli kötü niyetli faaliyetlerde bulunuyor ve muhtemelen istihbarat toplama operasyonlarını destekliyor. Bahsedildiği gibi, tehdit aktörü artık yalnızca siber casusluk yapmak için önceki finansal olarak motive edilmiş faaliyetlerinden uzaklaşıyor gibi görünüyor.
SnipBot’un yeni karartma yöntemleri ve istismar sonrası faaliyetlerle tehdit yeteneklerinde bir evrim gösterdiğini belirten araştırmacılar, Unit 42’nin analizinde “kuruluşların sistemlerini ve verilerini gelişen siber tehditlere karşı korumak için uyanık kalmaları ve gelişmiş güvenlik önlemleri benimsemeleri gerektiğini” vurguladı.
RomCom tehdit aktörünün siber casusluğa olan ilgisi göz önüne alındığında, Ukrayna ve destekçileriUkrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) da yayınlanan bilgiler Tehdit grubu ve çalışma şekli hakkında.
Ajans, “Bu grup, savunma sanayi kuruluşlarının çalışanlarına ve Ukrayna Savunma Kuvvetleri’ne aktif olarak saldırıyor, kötü amaçlı yazılım cephaneliğini sürekli güncelliyor, ancak kötü amaçlı faaliyetleri yalnızca Ukrayna ile sınırlı değil” uyarısında bulundu.
CERT-UA, hedef alınabilecek kuruluşlara, kendilerini bir devlet çalışanı olarak tanıtsalar bile, bilinmeyen göndericilerden gelen e-postalara karşı dikkatli olmaları ve şüpheli dosyaları indirmekten veya açmaktan kaçınmaları konusunda tavsiyede bulundu.
