RomCom 黑客瞄准乌克兰军事机构
2022-10-31 15:30:0 Author: paper.seebug.org(查看原文) 阅读量:23 收藏

作者:黑莓研究和情报团队
译者:知道创宇404实验室翻译组
原文链接:https://blogs.blackberry.com/en/2022/10/unattributed-romcom-threat-actor-spoofing-popular-apps-now-hits-ukrainian-militaries

总结

曾经不为人知的RomCom RAT黑客现在瞄准乌克兰军事机构。已知同一黑客部署流行软件“高级IP扫描仪”的欺骗版本,在公开曝光后,它切换到了另一个流行应用程序,称为“PDF Filler”。这表明其背后的团队正在积极开发新功能。

背景

最初的“高级IP扫描器”活动发生在2022年7月23日。一旦受害者安装了特洛伊木马捆绑包,就会将RomCom RAT丢弃到系统中。2022年10月10日,黑客通过混淆所有字符串、作为COM对象执行等方式改进了规避技术。

攻击向量

早期版本的RomCom RAT是通过欺骗合法的“高级IP扫描仪”应用程序网站的虚假网站分发的。特洛伊木马化的“高级IP扫描程序”软件包托管在“高级IP扫描程序[.]com”和“高级IP扫描仪[.]com”域上。这两个域在历史上都解析为相同的IP地址167[.]71[.]175[.]165。 黑客还确保这两个虚假网站看起来与原始网站几乎相同——“高级IP扫描程序.com”。

图1–假冒的“高级IP扫描仪”网站

图2–合法的“高级IP扫描仪”网站

10月20日,这名黑客在“pdfFiller”网站上部署了一场新的恶意活动,删除了一个特洛伊木马版本,并将RomCom RAT作为最终有效载荷。

武器化

最早版本的RomCom RAT采用“高级IP扫描仪”软件包。黑莓研究和情报团队已经确定了两个版本——“Advanced_IP_Scanner_V2.5.4594.1.zip”和“advancedipscanner.msi”。黑客通过在文件名中添加单个字母“V”来欺骗名为“Advanced_IP_Scanner_2.5.4594.1.exe”的合法工具。

解压缩后,它包含27个文件,其中四个是恶意投放器。

图3–特洛伊木马“高级IP扫描器”的内容。着重介绍了RomCom RAT dropper。

Dropper RomCom从其资源中提取有效负载,并在以下文件夹中创建它:

С:\Users\Username\AppData\Local\Temp\winver.dll

RomCom的主要功能包括但不限于收集系统信息(磁盘和文件信息枚举),以及有关本地安装的应用程序和内存进程的信息。它还截屏并将收集的数据传输到硬编码的命令和控制(C2)。如果收到特殊命令,它支持从受害者的计算机上自动删除。

最新版本的RomCom RAT已捆绑在“PDFFiller.zip”包中。

与攻击乌克兰军事机构有关

10月21日,RomCom RAT背后的黑客瞄准了乌克兰的军事机构。最初的感染媒介是一封带有嵌入式链接的电子邮件,该链接导致一个虚假网站丢弃下一阶段的下载程序。诱饵是一份乌克兰语的假文件,名为“Наказ_309.pdf”(英语翻译为“Order_309.pdf”)。

图4–原始链接以乌克兰语为诱饵,引诱乌克兰国防部原始网站

这是一个 HTML 文件,其中包含下一阶段恶意可移植可执行 (PE) 文件的下载 URL。

图5–初始“Наказ_309.pdf”引诱的部分HTML代码

丢弃的恶意“AcroRdrDCx642200120169_uk_UA.exe”文件具有签名者“Blythe Consulting sp. z o.o.”的有效数字签名。

图6–带有有效数字签名的恶意“AcroRdrDCx642200169_uk_UA.exe”

执行时,它将删除以下文件:“C:\Users\Public\Librarys\WinApp.dll”。删除的“WinApp.dll”文件包含一个导出文件“fwdTst”。通过调用“rundll32.exe”proce3ss,导出将运行。与之前一样,RomCom RAT最终有效载荷从资源中提取并保存为“C:\Users\Public\Librarys\rtmpak.dll”。

合法的“pdfFiller”应用程序使用相同的签名者“Blythe Consulting sp. z o.o.”。如上所述,该应用程序在最新的活动中被 RomCom RAT黑客滥用。

RomCom RAT投放器和最终的RAT都包括本地俄语和俄语变体:

目标

除了针对乌克兰军事机构的最新活动外,我们还发现RomCom黑客针对美国、巴西和菲律宾的IT公司、食品经纪人和食品制造。

图7–RomCom RAT黑客目标

结论

RomCom RAT黑客正在积极开发针对全球受害者的新技术。很有可能会有新的黑客活动。在发布时,没有明显的联系到任何被归因的黑客。

我们正在发布以前和最近针对乌克兰的活动的参考IOC。

IoC

Hashes (sha-256) C2
3e3a7116eeadf99963077dc87680952cca87ff4fe60a552041a2def6b45cbeea CombinedResidency[.]
983833334d168cd4274467f48171489e019b86b51e687738565a93dd3f58d0aa orgoptasko[.]com
05681ff7cae6b28f5714628a269caa5115da49c94737ce82ec09b4312e40fd26 4qzm[.]com
59f0c3b7890f11217ad37764f225cd1c9d27747495d80dadde40b78edfbfa21e notfiled[.]com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采取的应对措施

import "pe"
import "math"

rule targeted_RomComRat : RomCom deployed via trojanized legitimate apps
{
    meta:
        description = "Rule detecting RomCom RAT used to attack Military Institutions from Ukraine"
        author = " The BlackBerry Research & Intelligence team"
        date = "2022-18-10"
        license = "This Yara rule is provided under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0) and open to any user or organization, as long as you use it under this license and ensure originator credit in any derivative to the BlackBerry Research & Intelligence Team"
        hash = "9f61259c966f34d89b70af92b430ae40dd5f1314ee6640d16e0b7b0f4f385738"

      strings:
        //comDll.dll
        $x0 = {636f6d446c6c2e646c6c}
        //combase32.dll
        $x1 = {63006f006d006200610073006500330032002e0064006c006c00}         

    condition:
    uint16(0) == 0x5a4d and
    pe.number_of_sections == 7 and
    pe.sections[0].name == ".text" and
    math.entropy(pe.sections[0].raw_data_offset, pe.sections[0].raw_data_size) >= 6.5 and
    pe.sections[1].name == ".rdata" and
    math.entropy(pe.sections[1].raw_data_offset, pe.sections[1].raw_data_size) >= 5.2 and
    pe.sections[2].name == ".data" and
    pe.sections[3].name == ".pdata" and
    math.entropy(pe.sections[3].raw_data_offset, pe.sections[3].raw_data_size) >= 5.5 and
    pe.sections[4].name == "_RDATA" and
    math.entropy(pe.sections[4].raw_data_offset, pe.sections[4].raw_data_size) >= 2.4 and
    pe.sections[5].name == ".rsrc" and
    math.entropy(pe.sections[5].raw_data_offset, pe.sections[5].raw_data_size) >= 2.85 and
    pe.sections[6].name == ".reloc" and
    math.entropy(pe.sections[6].raw_data_offset, pe.sections[6].raw_data_size) >= 5.3 and
    pe.number_of_resources == 2 and
    pe.exports("startFile") and
    pe.exports("startInet") and
    all of ($x*)
}

Paper 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1999/



文章来源: https://paper.seebug.org/1999/
如有侵权请联系:admin#unsafe.sh