RomCom RAT (リモート アクセス トロイの木馬)を利用している脅威グループは、その攻撃ターゲットを更新し、現在、有名なソフトウェア ブランドを悪用して配布していることがわかりました。
BlackBerryによって発見された新しい攻撃では、RomCom の脅威グループが、SolarWinds Network Performance Monitor (NPM)、KeePass パスワード マネージャー、および PDF Reader Pro の公式ダウンロード ポータルのクローンを作成する Web サイトを作成し、本質的にマルウェアを正当なプログラムに偽装していることが判明しています。
さらに、Unit 42 は、攻撃者が Veeam Backup and Recovery ソフトウェアを偽装するサイトを作成したことを発見しました。
ハッカーは、HTML コードをコピーして本物のサイトを再現するだけでなく、タイポスクワットの「そっくり」ドメインを登録して、悪意のあるサイトの信頼性をさらに高めています。
BlackBerry は以前、ウクライナの軍事機関に対する攻撃で使用された RomCom マルウェアを検出しました。
正当なソフトウェアになりすます
SolarWinds NPM になりすました Web サイトは、トロイの木馬化されたバージョンの無料試用版を提供し、実際の SolarWinds 登録フォームへのリンクさえ提供します。被害者が入力すると、実際のカスタマー サポート エージェントから連絡を受けることになります。
ただし、ダウンロードされたアプリは、「C:UsersuserAppDataLocalTempwinver.dll」フォルダから RomCom RAT のコピーをダウンロードして実行する悪意のある DLL を含むように変更されています。
興味深いことに、ダウンロードされた実行可能ファイル (「Solarwinds-Orion-NPM-Eval.exe」) は、RAT のオペレーターがウクライナのキャンペーンで使用したものと同じデジタル証明書で署名されており、所有者が「Wechapaisch Consulting & Construction Limited」であることを示しています。
BlackBerry が 2022 年 11 月 1 日に発見した KeePass のクローン サイトの場合、攻撃者は「KeePass-2.52.zip」という名前のアーカイブを配布しています。
ZIP ファイルには、RomCom RAT ドロッパーである「hlpr.dat」やドロッパーを起動する「setup.exe」など、いくつかのファイルが含まれています。 Setup.exe は、アーカイブのダウンロード後にユーザーが手動で実行する必要があるものです。
.png)
BlackBerry の研究者は、2 つ目のなりすましの KeePass サイトと PDF Reader Pro サイトも見つけました。どちらもウクライナ語を使用しています。
これは、RomCom が依然としてウクライナを標的にしている一方で、英語を話すユーザーを含むように標的をシフトしたことを示しています。
現時点では、攻撃者が潜在的な被害者をサイトに誘い込む方法は不明ですが、フィッシング、SEO ポイズニング、またはフォーラム/ソーシャル メディアの投稿によるものである可能性があります。
動機が不明
2022 年 8 月、Palo Alto Networks の Unit 42 は RomCom RAT を「 Tropical Scorpius 」という名前のキューバ ランサムウェアの関連会社と関連付けました。
RomCom RAT は、ICMP ベースの通信をサポートし、オペレーターにファイル アクション、プロセスの生成とスプーフィング、データの引き出し、およびリバース シェルの起動のための 10 個のコマンドを提供する、当時は未知のマルウェアでした。
RomCom RAT に関する BlackBerry の以前のレポートでは、攻撃が既知の攻撃者に向けられていることを示す具体的な証拠はないと主張していました。
新しいレポートでは、Cuba Ransomware と Industrial Spy がこの作戦に関連している可能性があると言及しています。ただし、RomCom オペレーターの背後にある動機は依然として不明です。
Comments