New RomCom malware variant 'SnipBot' spotted in data theft attacks

SnipBotと呼ばれるRomComマルウェアの新しい亜種が、ネットワークを軸として侵害されたシステムからデータを盗む攻撃に使用されています。

Palo Alto Network のUnit 42 の研究者は、SnipBot 攻撃で使用される DLL モジュールを分析した結果、このマルウェアの新バージョンを発見しました。

最新の SnipBot キャンペーンは、IT サービス、法律、農業など、さまざまな分野の被害者を標的として、データを盗み、ネットワーク上でピボットを実行するようです。

SnipBot's post infection activities
SnipBot攻撃における感染後の活動
ソースはこちら:ユニット 42

RomCom の開発

RomCom は、複数の不正広告キャンペーン[1,2] や標的型フィッシング[1,2] でCuba ランサムウェアを配信するために使用されたバックドアです。

2023年後半にトレンドマイクロの研究者によってRomCom 4.0と名付けられた以前のリリースは、過去の亜種と比較して軽量かつステルス化されていましたが、堅牢なコマンドセットは維持されていました。

RomCom 4.0の機能には、コマンドの実行、ファイルの窃取、新しいペイロードのドロップ、Windowsレジストリの変更、コマンド&コントロール(C2)通信のより安全なTLSプロトコルの使用などが含まれていました。

Unit42がRomCom 5.0とみなすSnipBotは、拡張された27のコマンドセットを採用している。

これらのコマンドにより、オペレーターはデータ流出操作をより詳細に制御できるようになり、標的とする特定のファイルタイプやディレクトリを設定したり、7-Zipファイルアーカイブツールを使用して窃取データを圧縮したり、回避のためにホスト上で抽出するアーカイブペイロードを導入したりすることができるようになりました。

さらに、SnipBotはウィンドウメッセージベースの制御フロー難読化を採用し、コードをカスタムウィンドウメッセージによって順番にトリガーされるブロックに分割しています。

新しいアンチサンドボックス技術には、実行ファイルと作成されたプロセスのハッシュチェックや、レジストリキー「RecentDocs」に少なくとも100個のエントリが存在することの確認、「Shell Bags」に50個のサブキーが存在することの確認などが含まれます。

また、SnipBotのメインモジュールである「single.dll」は、暗号化された形でWindowsレジストリに保存され、そこからメモリにロードされることも特筆に値する。keyprov.dll」のように、C2サーバーからダウンロードされた追加モジュールも復号化され、メモリ上で実行される。

攻撃ベクトル

Unit 42は、VirusTotalに投稿された攻撃アーティファクトを取得し、SnipBotの最初の感染ベクトルまで遡ることができました。

典型的には、PDF文書などの一見無害なファイルをダウンロードするためのリンクを含むフィッシングEメールから始まり、受信者をおびき寄せてリンクをクリックさせるように細工されている。

研究者はまた、被害者が添付されたPDFファイルを読むことができるようにするために欠けているフォントをダウンロードすることになっている偽のAdobeサイトを含む少し古い初期ベクトルについて説明している。

そうすることで、攻撃者のコントロール下にある複数のドメイン(「fastshare[.]click」、「docstorage[.]link」、「publicshare[.]link」)をまたぐ一連のリダイレクトが引き起こされ、最終的に「temp[.]sh」のようなファイル共有プラットフォームから悪意のある実行可能なダウンローダーが配信されます。

SnipBot's latest execution flow
SnipBotの最新の実行フロー
Source:Unit 42

ダウンローダーは、C2からDLLファイルの実行ファイルをフェッチする際に被害者のセキュリティ ツールから警告が表示されないように、正規の証明書を使用して署名されていることがよくあります。

これらのペイロードをロードするための一般的な手口は、COMハイジャックを使用して「explorer.exe」に注入することであり、これによりシステムのリブート間でも永続性を実現しました。

Registering a malicious DLL as a COM object
悪意のある DLL を COM オブジェクトとして登録する
Source:ユニット 42

システムを侵害した後、脅威者は社内ネットワークとドメインコントローラに関する情報を収集します。次に、Documents、Downloads、OneDrive ディレクトリから特定のファイルタイプを盗み出します。

Unit 42によると、Active Directory(AD)の表示と編集、およびADデータベースのナビゲートを可能にするAD Explorerユーティリティを使用して、2番目の発見フェーズが続く。

標的のデータは、WinRARでアーカイブした後、PuTTY Secure Copyクライアントを使用して流出される。

研究者によると、SnipBotやRomCom攻撃で標的とされた被害者のセットにより、攻撃者の目的は不明確なままであるが、脅威行為者の目的は金銭的な利益からスパイ活動へと移行している疑いがあるという。