RomCom kötü amaçlı yazılım ailesi, özellikle de SnipBot çeşidi, fidye yazılımı, gasp ve hedefli kimlik bilgisi toplama yeteneğine sahip karmaşık bir tehdide dönüşmüştür.
Kurban sistemleri tehlikeye atmak için PDF tabanlı indiriciler ve yürütülebilir yükler de dahil olmak üzere çeşitli saldırı yöntemleri kullanıyor.
RomCom’un arkasındaki tehdit aktörleri en az 2022’den beri aktif ve kötü amaçlı yazılımlarının meşruiyetini artırmak için çalıntı veya hileli yollarla elde edilen kod imzalama sertifikalarını kullanıyorlar.
Saldırganların kontrolündeki alanlara (örneğin fastshare) yönlendiren bağlantılar içeren kötü amaçlı e-postalarla kurbanları cezbederek SnipBot kötü amaçlı yazılımını iletmek için çok aşamalı bir e-posta kimlik avı kampanyası kullandılar[.]tıkla ve docstorage[.]bağlantı ve ardından temp gibi meşru dosya paylaşım hizmetlerine yönlendirilir[.]SnipBot indiricisinin barındırıldığı sh.
Saldırganlar, daha sonraki kampanyalarda benzer taktikler kullanarak publicshare gibi yeni alan adları oluşturdular[.]Saldırganların birden fazla kurbanı hedef alma konusundaki ısrarcılığını ve uyum yeteneğini gösteren, farklı kötü amaçlı yazılım varyantlarını dağıtmaya yönelik bir bağlantı.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağına Dair Ücretsiz Web Semineri -> Ücretsiz Kayıt
SnipBot, algılanmamak için anti-sandbox hileleri kullanarak sistemleri gizlenmiş bir yürütülebilir dosya aracılığıyla enfekte eden RomCom kötü amaçlı yazılım ailesinin yeni bir çeşididir. Meşru işlemlere kötü amaçlı kod enjekte eder.
Kötü amaçlı yazılım, komutları almak ve ek yükler indirmek için komuta ve kontrol sunucusuyla iletişim kurar. Bu yükler dosyaları çalabilir, ekran görüntüleri yakalayabilir, ağ tünelleri kurabilir ve potansiyel olarak diğer kötü amaçlı etkinlikleri gerçekleştirebilir.
Palo Alto Networks’teki araştırmacılar, bir indiricinin birkaç yeni sürümünü analiz ederek, işlevlerinin benzer ancak uygulamalarının farklı olduğunu buldular.
Tüm örnekler geçici olarak barındırıldı[.]sh ve çeşitli C2 alanlarına bağlanarak yükleri indirin.
En yeni sürümde dinamik API çözümlemesi kullanılmış ve pencere mesajı tabanlı karartma kaldırılmışken, eski sürümlerde pencereyle ilgili API işlevleri ve kayıt defteri tabanlı anti-sanal teknikler kullanılmış ve Aralık 2023’te sunulan en eski sürümde kurbanları indiriciyi indirmeleri için kandırmak amacıyla bir PDF yemi kullanılmıştır.
Saldırganlar, ilk olarak komut satırı araçlarını kullanarak kurbanın ağında keşif yaptı ve ardından WinRAR ve PuTTY kullanarak kişisel sağlık verileri de dahil olmak üzere hassas dosyaları sızdırdı.
Sızdırma işlemi sırasında zorluklarla karşılaştılar ve bunları ek yükler indirerek çözmeye çalıştılar. Ayrıca yerel AD veritabanının bir anlık görüntüsünü oluşturdular, ancak bunun başarılı olup olmadığı belirsiz.
Sonuç olarak saldırganlar, muhtemelen şirket kaynaklarına sınırlı erişim nedeniyle kurbanın sistemini terk ettiler.
Kötü amaçlı yazılım analizi, işlevlerini uygulamak için birden fazla uzun fonksiyon kullanan, kötü kodlanmış bir C++ uygulamasını ortaya koyuyor.
Kodda küçük hatalar yer alıyor ve bu da saldırganın Windows geliştirme konusunda bilgili olduğunu ancak profesyonel uzmanlığa sahip olmadığını gösteriyor.
Örneğin, CreateDirectoryA API fonksiyonunun gereksiz yere kullanılması muhtemel bir kopyala-yapıştır hatasına işaret eder.
Kötü amaçlı yazılımın iletişim kanallarının belirlenmesi ve bozulması için kritik öneme sahip olan son etkin IP adresleri de dahil olmak üzere C2 ve sahneleme alanı bilgilerini sağlar.
Herhangi birini analiz edinSuspicious Links Using ANY.RUN's New Safe Browsing Tool: Try It for Free