SnipBot este o nouă variantă de malware RomCom care a fost folosită în atacuri care se bazează pe rețea pentru a fura date din sistemele compromise.
Cercetătorii Unit 42 ai Palo Alto Networks au descoperit noua versiune a malware-ului după ce au analizat un modul DLL folosit în atacurile SnipBot.
Cea mai recentă campanie SnipBot pare să vizeze o varietate de victime din diferite sectoare, inclusiv servicii IT, legal și agricultură, pentru a fura date și a se baza pe rețea.
RomCom este un backdoor care a fost folosit pentru a livra ransomware-ul Cuba în mai multe campanii de malvertising, precum și pentru operațiuni de pescuit țintite.
Versiunea anterioară, denumită RomCom 4.0 de către cercetătorii Trend Micro la sfârșitul anului 2023, a fost mai ușoară și mai furtunoasă în comparație cu variantele anterioare, dar a păstrat un set solid de comenzi.
Capacitățile lui RomCom 4.0 includeau executarea comenzilor, furtul de fișiere, plasarea de noi sarcini, modificarea registrelor Windows și utilizarea protocolului TLS mai sigur pentru comunicările de comandă și control (C2).
SnipBot, pe care Unit 42 îl consideră a fi RomCom 5.0, folosește un set extins de 27 de comenzi.
Aceste comenzi oferă operatorului un control mai granular asupra operațiunilor de exfiltrare a datelor, permițând setarea unor tipuri specifice de fișiere sau directoare pentru a fi vizate, comprimarea datelor furate folosind instrumentul de arhivare de fișiere 7-Zip și introducerea de sarcini de arhivă care să fie extrase pe gazdă pentru evitare.
În plus, SnipBot folosește acum obfuscarea de control a fluxului bazată pe mesaje de fereastră, împărțindu-și codul în blocuri declanșate în secvență de mesaje de fereastră personalizate.
Noile tehnici anti-sandboxing includ verificări de hashuri pe executabil și procesul creat și verificarea existenței a cel puțin 100 de intrări în cheile de registru „RecentDocs” și 50 de sub-chei în cheile de registru „Shell Bags”.
Merită menționat că modulul principal al lui SnipBot, „single.dll,” este stocat într-o formă criptată în Registrul Windows de unde este încărcat în memorie. Modulele suplimentare descărcate de la serverul C2, cum ar fi „keyprov.dll,” sunt, de asemenea, decriptate și executate în memorie.
Unit 42 a putut recupera artefacte de atac din submisiile VirusTotal, ceea ce le-a permis să revină la vectorul inițial de infecție pentru SnipBot.
De obicei, acest lucru începe cu e-mailuri de phishing care conțin linkuri pentru a descărca fișiere aparent inofensive, cum ar fi documente PDF, create pentru a atrage destinatarul să facă clic pe link.
Cercetătorii descriu, de asemenea, un vector inițial puțin mai vechi care implică un site fals Adobe de unde victima ar trebui să descarce un font lipsă pentru a putea citi fișierul PDF atașat.
Acest lucru declanșează o serie de redirectări pe mai multe domenii aflate sub controlul atacatorului, cum ar fi „fastshare[.]click,” „docstorage[.]link” și „publicshare[.]link,” livrând în cele din urmă un downloader executabil rău intenționat de pe platforme de partajare de fișiere cum ar fi „temp[.]sh”.
Downloader-urile sunt adesea semnate cu certificate legitime pentru a nu declanșa avertismente din partea instrumentelor de securitate ale victimei atunci când preiau executabile sau fișiere DLL de la C2.
O tactică comună pentru încărcarea acestor sarcini este să folosească detournarea COM pentru a le injecta în „explorer.exe,” ceea ce a realizat și persistența între repornirile sistemului.
După compromiterea unui sistem, actorul de amenințare colectează informații despre rețeaua companiei și controlerul de domeniu. În continuare, ei fură anumite tipuri de fișiere din directoarele Documents, Downloads și OneDrive.
Unit 42 spune că urmează o a doua fază de descoperire folosind utilitarul AD Explorer care permite vizualizarea și editarea Directorului Acti v (AD) precum și navigarea în baza de date AD.
Datele vizate sunt exfiltrate folosind clientul PuTTY Secure Copy după arhivarea acestora cu WinRAR.
Cercetătorii spun că obiectivul atacatorului rămâne neclar datorită setului de victime vizate în atacurile SnipBot și RomCom, dar bănuiesc că obiectivul actorului de amenințare s-a mutat de la câștigul financiar la operațiunile de spionaj.
Leave a Reply