close

被稱為 RomCom 的攻擊者正在利用 SolarWinds、KeePass 與 PDF Technologies 等公司的軟件作為誘餌,開展一系列的攻擊行動。研究人員發現攻擊者通過虛假軟件針對烏克蘭軍事機構發起攻擊,並且投遞 RomComRAT 遠控木馬。

RomCom 在攻擊行動中仿冒了 SolarWinds Network Performance Monitor、KeePass Open-Source Password Manager 與 PDF Reader Pro 這幾款軟件。

根據惡意網站的服務條款(TOS)與 C&C 服務器的 SSL 證書來看,烏克蘭是攻擊的主要目標,但包括英國在內的一些英語國家也在攻擊範圍內。根據地緣政治形勢判斷,RomCom 不像是一個以獲利為主要目標的網絡犯罪團伙。

攻擊能力

RomCom 首先爬取原始網頁的 HTML 代碼,並且註冊與合法域名相似的惡意域名。在對合法的應用程序進行投毒後,將其部署在誘餌網站上。最後,主要通過魚叉郵件投遞給受害者,某些情況下也會使用其他傳播媒介。

RomCom 武器化武器化 SolarWinds Network Performance Monitor

如下顯示了實際的 SolarWinds 網站與誘餌網站的區別:

合法 SolarWinds 網站

誘餌 SolarWinds 網站

攻擊行動中,攻擊者將 SolarWinds Network Performance Monitor 武器化後,引誘受害者通過誘餌網站下載免費試用版。受害者填寫的申請表單是完全合法的,填寫後確實有真正的 SolarWinds 的銷售人員來聯繫受害者以跟進產品試用情況。這也使受害者相信最近下載並安裝的應用程序是完全合法的。但其實,受害者已經掉入攻擊者的陷阱,被植入了 RomCom 遠控木馬的 Dropper。

SolarWinds-Orion-NPM-Eval.zip 的內容

惡意文件 Solarwinds-Orion-NPM-Eval.exe 的數字證書是 Wechapaisch Consulting & Construction Limited 該組織簽發的。攻擊者之前在 advancedipscanner.msi 文件中也重用過相同的證書,可以參考之前的分析報告。

惡意文件 Solarwinds-Orion-NPM-Eval.exe 的資源段中嵌入了三個 64 位 PE 文件:

X86:PDB 路徑為

c:\users\123\source\repos\ins_asi\win32\release\instlib.pdb,

相同的 PDB 路徑也在 setup.exe 文件中出現過。

X87:原始的 SolarWinds 安裝程序。

X88:RomCom 遠控木馬 Dropper,通過 rundll32.exe 調用 fwdTst 函數即可在 C:\Users\user\AppData\Local\Temp\winver.dll 位置釋放 RomCom 遠控木馬。

武器化 KeePass

近日,研究人員發現攻擊者利用流行的密碼管理軟件 KeePass 發起新的攻擊。其攻擊方式與前述相同,引誘受害者通過與合法網站相似的誘餌網站來下載惡意軟件。

合法 KeePass 網站

誘餌 KeePass 網站

在這個攻擊行動中,攻擊者所使用的誘餌程序為 KeePass-2.52。網站下載的惡意文件名為 KeePass-2.52.zip,解壓後其中包含如下文件。

壓縮文件內容

壓縮文件中包含兩個惡意文件:

Setup.exe:調用 Dropper 的文件,其 PDB 為 C:\Users\123\source\repos\ins_asi\Win32\Release\setup.pdb。

hlpr.dat:該文件為 RomCom 遠控木馬的 Dropper。

研究人員跟蹤發現,RomCom 部署惡意軟件(如投毒的 KeePass 和 PDF Reader Pro)的網站都是烏克蘭語的。另外,根據誘餌網站的服務條款頁特徵,擴展發現也有針對英國發起攻擊的網站。

href="privacy/uk_privacy.html"

href="privacy/uk_term.html"

href="privacy/uk_disclaimer.html"

投毒 KeePass

投毒 PDF Reader Pro

通過遙測,研究人員發現了在十月末註冊的新 C&C 服務器,其也使用了歸屬於英國公司的 SSL 證書。

Issuer: C=GB, ST=Greater London, L=Harmondsworth, O=British Government, OU=dgtlocean.com, CN=ca dgtlocean.com/emailAddress=ca(at)mail.com Issuer: C=GB, ST=Greater London, L=London, O=Government Digital Service, OU=you-supported.com, CN=ca you-supported.com/emdepth=0 C = GB, ST = British, L = Chesterfield, O = Royal Mail Group Ltd, OU = Group1, CN = Group1.A, emailAddress = server(at)mail.com

(向右滑動,查看更多)

結論

RomCom 的攻擊者正在針對烏克蘭與英語區國家發起新的攻擊行動,根據遙測數據很可能英國就是最新的攻擊目標。

攻擊者並未通過供應鏈攻擊的方式直接入侵廠商或者其他合法公司,只是創建了與合法網站相似的誘餌網站來引誘受害者。

IOC

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

參考來源

https://blogs.blackberry.com/en/2022/11/romcom-spoofing-solarwinds-keepass



精彩推薦





arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()