.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
由經濟利益驅動,惡意組織在地緣衝突區域發起APT攻擊的趨勢越來越明顯。
Void Rabisu,也被稱為Tropical Scorpius,研究人員認為它使用RomCom後門發起攻擊。分析發現,Void Rabisu的攻擊是出於經濟動機。自2022年10月以來,Void Rabisu的動機似乎發生了變化,當時RomCom後門被報導出現在俄烏衝突中。
研究發現,至少自2022年10月以來,RomCom後門一直出現在地緣政治區域,接下來,研究人員將討論RomCom是如何隨著時間的推移而演變的,以及後門是如何通過類似APT的方法傳播的,以及目前正在發生的著名網絡犯罪活動所使用的方法,以表明RomCom正在使用更多的逃避技術。
RomCom使用的第三方服務也被其他攻擊者使用,如惡意軟件簽名和二進制加密。 RomCom已經通過許多誘餌網站傳播。 Void Rabisu是出於經濟動機的,他們的目標和動機在特殊的地緣政治環境下看起來更像是出於政治目的。
RomCom活動自2022年夏天以來,研究人員一直在跟踪RomCom的活動,自那以後,它的逃避方法有所升級,惡意軟件不僅經常使用VMProtect來增加手動和自動沙盒分析的難度,而且還在有效負載文件上使用二進制填充技術。這為文件添加了大量的覆蓋字節,增加了惡意負載的大小(研究人員看到一個文件的大小為1.7G)。此外,最近添加了一個新的例程,該例程涉及有效負載文件的加密,只有在下載特定密鑰以激活有效負載的情況下,才能對有效負載文件進行解密。
除了這些逃避技術外,RomCom還使用誘餌網站進行傳播,這些網站通常看起來是合法的,並被用於目標定位。這使得通過網絡信譽系統自動屏蔽這些誘惑網站變得更加困難。 Void Rabisu一直在使用谷歌廣告誘導他們的目標訪問誘餌網站,類似於2022年12月傳播IcedID殭屍網絡的活動。一個關鍵的區別是,雖然IcedID的目標範圍更廣,但Void Rabisu可能選擇了谷歌廣告向其廣告商提供的更有針對性的目標。
RomCom的活動還利用了具有高度針對性的魚叉式網絡釣魚電子郵件。
在RomCom誘餌網站上,目標被提供合法應用程序的木馬版本,如聊天應用程序(如AstraChat和Signal)、PDF閱讀器、遠程桌面應用程序、密碼管理器和其他通常由系統管理員使用的工具。
研究人員統計了自2022年7月以來建立的幾十個誘餌網站。例如,RomCom在2022年3月對一名歐洲議會議員使用了魚叉式網絡釣魚,但在2022年10月通過谷歌廣告定位了一家歐洲國防公司,該廣告導致一個中介登陸網站重定向到RomCom誘餌網站。該中介登陸網站使用了域名“kagomadb[.]com”,該域名後來於2022年12月用於Qakbot和Gozi有效負載。
追踪發現,RomCom後門的目標是烏克蘭及其盟友。
RomCom 3.0:AstraChat活動接下來,我們將分析2023年2月針對東歐目標使用的RomCom後門樣本。 Palo Alto的Unit 42分析了以前的RomCom版本,使用模塊化架構,支持多達20種不同的命令。從那時起,惡意軟件在支持的命令數量方面發生了顯著變化,但其模塊化架構幾乎沒有改變。 RomCom 3.0背後的攻擊者還使用不同的技術來釋放和執行惡意軟件。該分析基於一項將RomCom 3.0嵌入AstraChat即時消息軟件安裝包的活動。
Dropperastrachat.msi 文件是一個Microsoft安裝程序(msi)文檔。儘管安裝了與合法的AstraChat軟件相關的文件,但它還是打開了一個惡意的InstallA.dll文件,並調用其Main()函數。
InstallA.dll文件提取%PUBLIC%\Libraries文件夾下的三個動態鏈接庫(DLL)文件:
prxyms
winipfile
netid
這些DLL文件中的數字是基於從HKLM\SOFTWARE\Microsoft\Cryptography\MachineGuid的Windows註冊表中讀取的計算機GUID的整數。
持久性為了持久性,RomCom使用COM劫持,因此得名。 InstallA.dll在Windows註冊表中寫入以下註冊表值:
[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{C90250F3-4D7D-4991-9B69-A5C5BC1C2AE6}\InProcServer32]
@='%PUBLIC%\\Libraries\\prxyms
這會覆蓋HKEY_LOCAL_MACHINEhive中的相同項,導致請求該類ID(CLSID)的進程加載位於%PUBLIC%\Libraries\prxyms.DLL的RomCom加載程序DLL。其中一個進程是explorer.exe,它由RomCom dropper重新啟動,因此調用加載程序DLL。
RomCom加載程序還通過使用轉發的導出將對其導出函數的調用重定向到合法的actxprxy.dll。
RomCom 3.0加載程序(prxyms
但是,在調用被轉發之前,RomCom加載程序的DLL入口點上的惡意代碼會運行。這段代碼使用rundll32.exe來執行從winipfile
基礎架構RomCom 3.0分為三個組件:一個加載器,一個與命令和控制(CC)服務器交互的網絡組件,以及一個在受害者計算機上執行操作的工作組件。網絡組件由netid
RomCom 3.0總體架構
Bot命令RomCom 3.0命令是惡意網絡組件對HTTP POST請求的響應。
RomCom 3.0命令結構
上圖顯示了接收到命令5的示例,該命令是將文件下載到受害者的計算機上的命令。用於通信的ID是0x950,並且接收到帶有附加數據的命令0x05。在這種情況下,附加數據告訴受感染計算機上運行的惡意軟件,下載的文件應佔用939 (0x3ac – 1) 4KB塊。文件本身是在單獨的響應中下載的,因此在這種情況下,受害者端的最終文件大小將為3,846,144字節。作為一種逃避技術,將空字節附加到文件中以實現此結果,附加數據字段的內容可能因命令而異。
在RomCom 3.0中,研究人員列舉了42個有效命令,以下是用於常規後門的大量命令,但是其中一些命令只是其他命令的變體。
1—發送連接的驅動器信息;
2—發送指定目錄下的文件名列表;
3—啟動cmd.exe以運行現有程序;
4—將指定的文件上載到CC服務器;
5—將文件下載到受害者的計算機上;
6—刪除受害者計算機上的指定文件;
7—刪除受害者計算機上的指定目錄;
8—生成一個帶有PID欺騙的給定進程(PID也作為命令數據的一部分);
12—從%PUBLIC%\Libraries\PhotoDirector.dll中調用startWorker(),然後將%PUBLIC%\Libraries\PhotoDirector.zip發送到CC服務器並將其刪除;
13—從%PUBLIC%\Libraries\PhotoDirector.dll中調用startWorker(),將屏幕信息寫入%PUBLIC%\Libraries\update.conf;
14—將%PUBLIC%\Libraries\PhotoDirector.zip上傳到CC服務器並將其刪除;
15—發送正在運行的進程及其PID的列表;
16—發送已安裝軟件列表;
17—刪除worker組件(winipfile
18—下載文件並將其保存到%PUBLIC%\Libraries\PhotoDirector.dll;
19—下載一個文件,保存到“%PUBLIC%\Libraries\BrowserData\procsys.dll”中,調用其導出的stub()函數;
20—下載一個可能包含3proxy和plink的ZIP文件;
21—使用3proxy和plink,通過SSH協議建立代理,接收IP地址、密碼、本地和遠程端口作為命令參數,SSH服務器用戶名固定為“john”;
22—終止3proxy.exe和plink.exe進程;
23—下載一個文件並將其保存到%PUBLIC%\Libraries\upd-fil
24—發送%PUBLIC%\Libraries\BrowserData\Result的內容;
25—複製工作線程;
26—發送Windows版本;
29—從CC服務器下載freeSSHd;
30—運行freeSSHd並使用plink創建51.195.49.215的反向連接,用戶名為“john”,密碼為“eK6czNHWCT569L1xK9ZH”
31—關閉freeSSHd進程;
32—在%USERPROFILE%中的“下載”、“文檔”和“桌面”文件夾中發送.txt、rtf、xls、xlsx、ods、cmd、pdf、vbs、ps1、one、kdb、/kdb、doc、doc,odt、eml、msg和.email文件;
34—在受害者計算機的隱藏窗口運行AnyDesk,將AnyDesk ID發送給CC服務器;
35—終止AnyDesk進程,並刪除其可執行文件;
36—下載AnyDesk可執行文件並將其保存到%PUBLIC%\Libraries\dsk.exe;
38—下載文件並將其保存到%PUBLIC%\Libraries\wallet.exe;
39—下載文件並將其保存到%PUBLIC%\Libraries\7z.dll;
40—下載文件並將其保存到%PUBLIC%\Libraries\7z.exe;
41—發送用7-Zip壓縮的%PUBLIC%\Libraries\tempFolder的內容;
42—下載文件並將其保存到%PUBLIC%\Libraries\7za.exe;
43—使用%PUBLIC%\Libraries\7za.exe將給定文件夾壓縮為fold.zip文檔,並將壓縮後的文檔發送到CC服務器;
44—終止PhotoDirector.dll進程;
45—下載文件並將其保存到%PUBLIC%\Libraries\msg.dll;
46—調用%PUBLIC%\Libraries\msg.dll導出的stW()函數;
47—下載文件並將其保存到%PUBLIC%\Libraries\FileInfo.dll;
48—調用%PUBLIC%\Libraries\FileInfo.dll導出的fSt()函數;
49—更新網絡組件;
其他惡意軟件根據發送回CC服務器的消息以及命令如何使用這些文件,研究人員可以推斷出幾個附加組件的用途:
PhotoDirector.dll—用於獲取一個或多個屏幕截圖,並將它們壓縮到%PUBLIC%\Libraries\PhotoDirector.zip中的程序;
procsys.dll—一個被稱為STEALDEAL的竊取程序,用於檢索瀏覽器cookie並將其寫入%PUBLIC%\Libraries\BrowserData\Result;
wallet.exe—一個加密錢包抓取器,將被盜信息寫入%PUBLIC%\Libraries\tempFolder;
msg.dll—用於竊取聊天信息的即時消息抓取器;
FileInfo.dll—FTP憑據的竊取器,或使受害者的計算機將文件上傳到FTP服務器的組件;
除了這些額外的惡意軟件,RomCom 3.0似乎也有下載和運行合法軟件的命令:
dsk.exe–AnyDesk軟件的便攜式版本;
7z.dll、7z.exe和7za.exe–與7-Zip程序相關的文件;
STEALDEAL通過RomCom的CC服務器下載的竊取程序是一個相對簡單的程序,它可以從以下瀏覽器中竊取存儲的憑據和瀏覽歷史:
GoogleChrome
MicrosoftEdge
MozillaFirefox
Chromium
ChromeBeta
YandexBrowser
竊取器還收集了有關已安裝郵件客戶端的信息。被盜數據本地存儲在受害者計算機上的%PUBLIC%\Libraries\BrowserData\Result,通過CC命令24,這些數據通過RomCom CC服務器進行被洩漏。研究人員檢測到這個竊取器是TrojanSpy.Win64.STEALDEAL,也被稱為SneakyTealer。
逃避技術RomCom 3.0二進製文件受VMProtect保護。有些二進製文件還使用有效的證書進行簽名。因為攻擊者決定使用VMProtect的反虛擬機功能,在沒有修改或虛擬機加固的情況下在虛擬機中運行它的任何嘗試都將導致惡意軟件顯示錯誤消息並退出。
RomCom 3.0示例中默認的VMProtect反虛擬機檢測
RomCom使用的另一個有趣的技術是將空字節添加到從CC服務器接收的文件中的能力。將文件增大可以是為了避免沙盒產品或安全軟件掃描儀對文件大小進行限制。
在之後的RomCom版本中,託管在誘餌網站上的二進製文件包含加密的有效負載。要正確解密負載,它需要訪問IP地址為94.142.138.244的web服務器並下載解密密鑰。研究人員懷疑該網站是一個第三方服務,也可能被其他惡意軟件使用,包括Vidar竊取程序,也被稱為StealC。另外,最新的RomCom釋放程序已停止釋放worker組件。相反,網絡組件要從CC服務器下載它。
數據包的結構(packetstructure)和通信流根據研究人員對受害者計算機和RomCom CC服務器之間通信的觀察,研究人員能夠確定這種通信的數據包結構。最初,客戶端會向服務器發送受害者計算機上的信息,例如其通用唯一標識符(UUID)、用戶名和計算機名稱。然後,服務器將使用一個四個字節長的會話ID進行響應。然後,CC服務器對發送到受害計算機的每個命令在第一個字節上增加一個會話ID。
觀察到的數據包結構
研究人員觀察到的第一個命令是命令3,它使用cmd.exe運行帶有參數/domain_trusts的Nltest命令。這樣做是為了收集受害者計算機可能知道的任何域的信息。一旦命令完成,它將返回會話ID為五字節的命令結果;此時前四個字節是未知的,但研究人員觀察到,如果它向服務器返回數據,則第一個字節將為0x01,如果它從服務器接收數據,則為0x00。
然後,CC服務器似乎以自動的方式請求特定的信息,因為相同的請求會快速連續地發送。根據研究人員的分析,他們確定服務器正在請求受害計算機:
使用命令3返回ntlist/domain_trusts;
下載StealtDeal以收集某些信息;
使用StealtDeal從受害者的計算機收集cookie和其他信息;
使用命令32從“桌面”、“文檔”和“下載”文件夾中收集文件;
CC服務器和受害者計算機之間的通信流程
使用假冒公司和網站惡意軟件使用證書為目標受害者下載的軟件增加可信度。乍一看,正在簽署這些二進製文件的公司看起來像是經過證書籤名的合法公司。然而,仔細查看這些公司的網站會發現一些奇怪之處,包括不存在的電話號碼、高管的照片、似乎不匹配的辦公室地址。這讓研究人員相信,這些要么是虛假公司,要么是合法公司,它們被濫用以逃避二進製文件授權簽名檢查。
AstraChat活動中使用的RomCom 3.0樣本由一家名為Noray 的加拿大諮詢公司簽署,該公司擁有一個LinkedIn頁面、一個網站,甚至在加拿大的商業註冊中有一個列表。
Noray 諮詢公司的LinkedIn頁面截圖
Noray 諮詢公司的安大略省商業註冊搜索結果
該公司的LinkedIn頁面還提到,Noray 諮詢公司致力於《萨班斯-奥克斯利法案》 (SOX)規定的年度審計,以及其他風險控制領域。然而,領英的頁面也指向一個不存在的網站noray[.]ca。
根據其LinkedIn頁面,該公司聲稱總部位於安大略省,研究人員在加拿大企業的公共記錄中查找了有關該公司的任何信息。在2020年,Noray 諮詢公司的所有者已經修改了公司名稱。攻擊者似乎很善於利用那些不活躍或處於類似狀態的公司,然後會盜用這些公司的名字。
在網上搜索Noray諮詢公司時會發現,其主要網站有一個不匹配的域名firstbytecconsulting[.]com。該網站曾是一家專門從事項目管理公司的網站。該域名似乎已於2020年到期,但被購買並重新利用,類似於2020年之前的網站。現在,將這個域名與Noray諮詢公司有關的是,網站上的地址詳細信息與Noray諮詢公司的LinkedIn頁面上的地址信息相匹配:這是一家位於安大略省米爾頓的加拿大公司。聯繫人頁面上有一張顯示公司位置的地圖,但地圖是俄語的。這可能意味著製作這張谷歌地圖的人的主要語言設置為俄語,這對於一家加拿大公司來說及其怪異。
網站聯繫人頁面地圖截圖
研究人員還發現,他們網站上提到的人很可能是與企業沒有任何關係的人的庫存圖像或人工智能生成的照片,如下圖所示。
網站團隊成員頁面截圖
進一步調查顯示,上圖中潛藏有許多危險標識:
這些人在互聯網上似乎都沒有真實的人物形象;
反向圖像搜索顯示,這些是在幾個網站上使用的庫存照片圖像;
團隊中的兩名成員擁有相同的職位,即“經理、人力資源流程和薪酬”;
研究人員還觀察到,Noray諮詢公司網站其他部分的文本有部分是從其他網站複製的。這表明,這些攻擊者正試圖讓這些網站變得可信,提供從網上找到的真實公司那裡獲得的看似現實的服務。
Void Rabisu有許多誘餌網站,試圖說服目標下載木馬合法應用程序。這些誘餌網站乍看起來是合法的,但仔細看會有許多奇怪之處。例如,