RomCom olarak bilinen kötü amaçlı yazılım ailesinin arkasındaki tehdit aktörleri, Mythic Agent’ı sunmak için SocGholish adlı bir JavaScript yükleyici aracılığıyla ABD merkezli bir inşaat mühendisliği şirketini hedef aldı.
Arctic Wolf Labs araştırmacısı Jacob Faires Salı günü yayınlanan bir raporda, “Bu, SocGholish tarafından bir RomCom yükünün dağıtıldığı ilk kez gözlemleniyor.” dedi.
Faaliyet, orta ila yüksek güvenle, Rusya Federasyonu Silahlı Kuvvetleri Genelkurmay Başkanlığı Ana Müdürlüğü’nün (GRU olarak da bilinen) 29155 Birimine atfedildi. Siber güvenlik şirketine göre, hedeflenen kuruluş geçmişte Ukrayna ile yakın bağları olan bir şehirde çalışıyordu.
TA569 (diğer adıyla Gold Prelude, Mustard Tempest, Purple Vallhund ve UNC1543) olarak takip edilen finansal motivasyona sahip bir operatöre bağlı SocGholish (diğer adıyla FakeUpdates), diğer tehdit aktörlerinin çok çeşitli yükleri bırakmasına olanak tanıyan bir ilk erişim komisyoncusu görevi görüyor. Bilinen müşterilerinden bazıları Evil Corp, LockBit, Dridex ve Raspberry Robin’dir.
Saldırı zincirleri genellikle, meşru ancak güvenliği ihlal edilmiş web sitelerinde Google Chrome veya Mozilla Firefox için sahte tarayıcı güncelleme uyarıları sunarak, şüphelenmeyen kullanıcıları bir yükleyici yüklemekten sorumlu olan ve daha sonra ek kötü amaçlı yazılım getiren kötü amaçlı JavaScript indirmeleri konusunda kandırmayı içerir.
Saldırılar çoğunlukla güvenliği zayıf olan web sitelerini hedef alıyor ve eklentilerdeki bilinen güvenlik açıklarından yararlanarak açılır pencereyi görüntülemek ve enfeksiyon zincirini etkinleştirmek için tasarlanmış JavaScript kodunu enjekte ediyor.
RomCom (aka Nebulous Mantis, Storm-0978, Tropical Scorpius, UNC2596 veya Void Rabisu), en az 2022’den beri hem siber suç hem de casusluk operasyonlarıyla uğraştığı bilinen, Rusya bağlantılı bir tehdit aktörüne verilen addır.
Tehdit aktörü, hedef ağlara sızmak ve kurban makinelere adını taşıyan uzaktan erişim truva atını (RAT) bırakmak için hedef odaklı kimlik avı ve sıfır gün saldırıları da dahil olmak üzere çeşitli yöntemlerden yararlanıyor. Bilgisayar korsanlığı grubunun gerçekleştirdiği saldırılar, Ukrayna’daki kuruluşların yanı sıra NATO ile ilgili savunma örgütlerini de hedef aldı.
Arctic Wolf tarafından analiz edilen saldırıda sahte güncelleme yükü, tehdit aktörlerinin bir komuta ve kontrol (C2) sunucusuna kurulan ters kabuk aracılığıyla ele geçirilen makinede komutlar çalıştırmasına olanak tanıyor. Buna keşif yapılması ve VIPERTUNNEL kod adlı özel bir Python arka kapısının bırakılması da dahildir.
Ayrıca, komut yürütmeyi, dosya işlemlerini ve diğerlerini desteklemek için karşılık gelen bir sunucuyla iletişim kuran platformlar arası, yararlanma sonrası, kırmızı ekip oluşturma çerçevesinin önemli bir bileşeni olan Mythic Agent’ı başlatan RomCom bağlantılı bir DLL yükleyici de teslim edilir.
Saldırı sonuçta başarısız olmuş ve daha fazla ilerlemeden engellenmiş olsa da, bu gelişme RomCom tehdit aktörünün bağlantı ne kadar zayıf olursa olsun Ukrayna’yı veya ülkeye yardım sağlayan kuruluşları hedef almaya devam ettiğini gösteriyor.
“Bulaşmanın zaman çizelgesi [the fake update] Jacob Faires, “RomCom yükleyicisinin teslimatına kadar geçen süre 30 dakikadan az sürdü. Teslimat, hedefin Active Directory etki alanının tehdit aktörü tarafından sağlanan bilinen bir değerle eşleştiği doğrulanıncaya kadar yapılmaz.”
“SocGholish saldırılarının yaygın doğası ve saldırının ilk erişimden enfeksiyona kadar ilerlemesinin göreceli hızı, onu dünya çapındaki kuruluşlar için güçlü bir tehdit haline getiriyor.”