Istraživači su naišli na novu, laganu varijantu RomCom backdoor-a koja je korištena u kampanji sajber špijunaže usmjerenoj na učesnice Samita žena političkih lidera (WPL) održanog u Briselu od 7. do 8. juna. Nova iteracija (praćena kao RomCom 4.0) prvi put je primijećena početkom avgusta i pripisana je Void Rabisu, finansijski motivisanoj grupi hakera koja je nedavno prebacila fokus na kampanje geopolitičke špijunaže na Ukrajinu i zemlje EU.
Pogled na nedavnu kampanju
U avgustu su napadači kreirali lažnu web stranicu, wplsummit[.]com, oponašajući službeni WPL portal kako bi prevarili ljude koji žele prisustvovati samitu ili su zainteresirani za samit.
- Lažna lokacija je povezana sa zlonamjernom fasciklom OneDrive preko dugmeta „Video snimci i fotografije“.
- Ovaj folder je sadržavao dvije komprimirane datoteke i program za preuzimanje zlonamjernog softvera pod nazivom “Neobjavljene slike”.
- Dok su dvije komprimovane datoteke preusmjerile posjetitelje na originalne fotografije sa događaja, činilo se da je program za preuzimanje zlonamjernog softvera izvršna datoteka koju je potpisao Elbor LLC da izgleda legitimno.
- Kada je izvršen, program za preuzimanje zlonamjernog softvera izvukao je 56 slika koje su nasumično prikupili hakeri iz pojedinačnih postova na različitim platformama društvenih medija.
- Dok žrtvu ometaju slike, program za preuzimanje šalje HTTP GET zahtjev za preuzimanje daljnjih payloada zlonamjernog softvera.
O RomComu 4.0
Prema istraživačima, najnovija varijanta je pretrpjela značajne promjene u svojoj arhitekturi, čineći je lakšom i skrivenijom.
- Za razliku od prethodne varijante koja je uključivala 42 komande, RomCom 4.0 podržava samo 10 komandi za izvođenje širokog spektra zlonamjernih aktivnosti na sistemima žrtava.
- Nadalje, uključuje nove karakteristike vezane za TLS 1.2 kako bi se osigurala sigurna komunikacija sa C2 serverom.
Zaključak
Treba napomenuti da hakeri još uvijek razvijaju malver, dodajući nove module prema potrebi osnovnoj komponenti kako bi proširili svoje ciljeve. Dodavanje novih modula može otežati sigurnosnim stručnjacima da otkriju backdoor. Organizacijama se savjetuje da ostanu zaštićene tako što će biti u toku sa trendovima napada na RomCom i korištenjem IoC-a koje dijeli Trend Micro.
Izvor: Cyware Alerts – Hacker News