最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

RomCom RAT恶意软件活动冒充KeePass、SolarWinds NPM、Veeam

网络安全 快米云 189浏览

举起双手的电脑头人

RomCom RAT(远程访问木马)背后的威胁行为者更新了其攻击向量,现在正在滥用知名软件品牌进行分发。

在BlackBerry发现的一项新活动中,发现 RomCom 威胁参与者创建了克隆 SolarWinds Network Performance Monitor (NPM)、KeePass 密码管理器和 PDF Reader Pro 的官方下载门户的网站,实质上将恶意软件伪装成合法程序。

此外,Unit 42发现威胁参与者创建了一个冒充 Veeam Backup and Recovery 软件的站点。

除了复制 HTML 代码来重现真实站点外,黑客还注册了拼写错误的“相似”域,以进一步增加恶意站点的真实性。

黑莓此前检测到用于攻击 乌克兰军事机构的 RomCom 恶意软件。

冒充合法软件

冒充 SolarWinds NPM 的网站会提供免费试用的木马版本,甚至链接到实际的 SolarWinds 注册表单,如果受害者填写该注册表单,就会与真正的客户支持代理联系。

被欺骗的 Solarwinds 网站
被欺骗的 Solarwinds 网站 (BlackBerry)

不过,下载的应用程序已被修改为包含一个恶意 DLL,该 DLL 从“C:\Users\user\AppData\Local\Temp\winver.dll”文件夹下载并运行 RomCom RAT 的副本。

下载的 Solarwinds ZIP 的内容
下载的 Solarwinds ZIP (BlackBerry)的内容

有趣的是,下载的可执行文件(“Solarwinds-Orion-NPM-Eval.exe”)与 RAT 运营商在乌克兰活动中使用的相同数字证书签名,显示所有者为“Wechapaisch Consulting & Construction Limited”。

对于黑莓在 2022 年 11 月 1 日才发现的 KeePass 克隆站点,攻击者正在分发一个名为“KeePass-2.52.zip”的档案。

假 KeePass 网站
假 KeePass 网站推 RomCom RAT  (BlackBerry)

ZIP 文件包含多个文件,包括“hlpr.dat”,它是 RomCom RAT 释放器,以及“setup.exe”,它启动释放器。Setup.exe 是用户在下载存档后需要手动执行的。

下载的 ZIP 文件的内容
下载的 ZIP 文件的内容 (BlackBerry)

黑莓的研究人员还找到了第二个欺骗性的 KeePass 站点和一个 PDF Reader Pro 站点,它们都使用乌克兰语。

另一个针对乌克兰人的虚假 KeePass 网站
另一个针对乌克兰人的假 KeePass 网站 (黑莓)

这表明,虽然 RomCom 仍然针对乌克兰,但他们也将目标转移到了说英语的用户。

目前尚不清楚威胁行为者如何引诱潜在受害者访问这些网站,但可能是通过网络钓鱼、SEO 中毒或论坛/社交媒体帖子。

无归属

2022 年 8 月,Palo Alto Networks 的 Unit 42 将 RomCom RAT 与名为“ Tropical Scorpius ”的古巴勒索软件的附属机构联系起来,因为这是第一个使用它的演员。

RomCom RAT 是一种当时未知的恶意软件,支持基于 ICMP 的通信,并为操作员提供十个命令用于文件操作、进程生成和欺骗、数据泄露和启动反向 shell。

黑莓之前关于 RomCom RAT 的报告认为,没有具体证据表明该操作指向任何已知的威胁参与者。

新报告提到古巴勒索软件和工业间谍可能与此次行动有关;然而,RomCom 运营商背后的动机仍不清楚。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » RomCom RAT恶意软件活动冒充KeePass、SolarWinds NPM、Veeam