RomCom arka kapısının yeni ve hafif bir çeşidi, cinsiyet eşitliği ve siyasette kadınlara odaklanan Brüksel’deki Kadın Siyasi Liderler (WPL) Zirvesi katılımcılarına karşı kullanıldı.
Kampanya, zirveye katılmak isteyen veya zirveyle ilgilenen kişileri kandırmak için resmi WPL portalını taklit eden sahte bir web sitesi kullandı.
Yeni varyantı analiz eden bir Trend Micro raporu, firma tarafından ‘Void Rabisu’ olarak takip edilen operatörlerinin, keşfi zorlaştırmak için C2 (komuta ve kontrol) iletişimlerinde yeni bir TLS uygulama tekniği ile daha gizli bir arka kapı kullandığı konusunda uyarıyor.
Ayrıca son saldırı, grubun daha önce Küba’daki bir fidye yazılımı bağlı kuruluşuna atfedilen fırsatçı fidye yazılımı saldırılarından, Microsoft ürünlerindeki sıfır gün güvenlik açıklarından yararlanılmasını içeren üst düzey siber casusluk kampanyasına geçişini güçlendiriyor.
Kadın siyasi liderleri hedef alıyor
Ağustos 2023’te Void Rabisu, ‘wplsummit’ adresinde kötü amaçlı bir web sitesi kurdu.[.]com’, wplsummit.org’da barındırılan gerçek Kadın Siyasi Liderler (WPL) web sitesini taklit etmek için tasarlanmıştır.
Kaynak: Trend Micro
Sahte site, etkinliğin iki gününe ait, orijinal siteden alınan resimleri ve ‘Yayınlanmamış Resimler’ adlı bir kötü amaçlı yazılım indiricisini içeren ‘Videolar ve fotoğraflar’ adlı bir düğme aracılığıyla bir OneDrive klasörüne bağlandı.
Kötü amaçlı yürütülebilir dosya, bir Elbor LLC sertifikası ile imzalanmıştır ve tuzak görevi görecek 56 fotoğraf içeren, kendi kendine açılan bir arşivdir ve uzak bir ana bilgisayardan ikinci bir şifrelenmiş dosya indirilir.
Kaynak: Trend Micro
İkinci veri, şifresi çözülen ve tespit edilmekten kaçınmak için belleğe yüklenen ve saldırganın sunucusuyla iletişim kurmak için gerekli ek bileşenleri getirmeye devam eden bir DLL’dir.
Kaynak: Trend Micro
RomCom 4.0
Trend Micro, RomCom’un en son sadeleştirilmiş versiyonunu arka kapının dördüncü büyük sürümü olarak tanımlıyor ve bunun Volexity araştırmacılarının yakın zamanda ‘Peapod’ adını verdiği kötü amaçlı yazılımın aynısı olduğunu açıklıyor.
Void Rabisu operasyonlarında görülen önceki versiyon olan RomCom 3.0 ile karşılaştırıldığında, yeni arka kapı çeşidi önemli değişikliklere uğradı ve bu da onu daha hafif ve daha gizli hale getirdi.
Artık yalnızca aşağıdaki on komutu destekliyor; önceki 42’ye göre büyük bir azalma.
- Hiçbir eylem – İşleme fonksiyonu sıfır döndürür; Kötü amaçlı yazılım bir sonraki komutu bekler.
- Komutu çalıştır – Bir komutu çalıştırır ve çıktısını geri gönderir.
- Dosya yükleme – Güvenliği ihlal edilmiş makineye bir dosya yükler.
- Dosyayı indir – Etkilenen makineden bir dosyayı alır.
- Komutu çalıştır – Verilen bir komutu yürütür.
- Güncelleme aralığı – Arka kapı kontrol sıklığını değiştirir (varsayılan 60 saniye) ve sistem kayıt defterini günceller.
- Sistem bilgisini al – RAM, işlemci, yerel saat ve kullanıcı adını alır.
- Ağ bileşenini güncelle – Windows kayıt defterindeki ağ bileşenine ilişkin verileri günceller.
- Kaldır – İlgili kayıt defteri anahtarlarını temizler ve ilişkili dosyaları siler.
- Hizmet adını al Windows kayıt defterinden
Ayrıca, bileşenlerini doğrudan cihazlara bırakmak için değiştirilmiş MSI’ları kullanmak yerine, yeni varyant, XOR ile şifrelenmiş DLL’leri getirmek için bir EXE dosyasından yararlanıyor ve tüm bileşenlerini belleğe yüklüyor.
RomCom 4.0 ayrıca C2 sunucusuyla güvenli iletişim sağlamak üzere tasarlanmış bir protokol olan Aktarım Katmanı Güvenliği (TLS) ile ilgili yeni özellikleri de bünyesine kattı.
Kötü amaçlı yazılım, işletim sisteminin varsayılan TLS sürümünü seçmesine izin vermek yerine, WinHTTP işlevlerini özellikle TLS sürüm 1.2’yi kullanmaya zorlayacak şekilde kodlanmıştır.
Kaynak: Trend Micro
Bu yaptırım sistemi, Trend Micro’nun en yeni RomCom sürümüne karşı güvenli olduğunu düşündüğü Windows 7’de bir hataya neden olur.
Bu mekanizmanın amacı muhtemelen C2 iletişimini gözetlemeye karşı daha dirençli hale getirmek, otomatik keşfi karmaşık hale getirmek ve muhtemelen saldırganların uygun olmayan kurbanları filtrelemesine olanak tanımaktır.
Genel olarak Void Rabisu’nun taktikleri ve RomCom kötü amaçlı yazılımının dağıtımı belirsizliğini koruyor.
Ancak arka kapının gelişiminin halen devam ettiği ve operatörlerinin giderek üst düzey siber casusluğa odaklandığı açıktır.
Trend Micro, Void Rabisu’nun büyük olasılıkla özel ilgi gruplarıyla ilgili tüm büyük konferansları hedefleyeceği sonucuna varıyor, bu nedenle etkinlik sitelerini ziyaret ederken dikkatli olunması tavsiye ediliyor.