Nouvelle variante du malware RomCom « SnipBot » détectée dans des attaques de vol de données
Une nouvelle variante du malware RomCom, appelée SnipBot, a été utilisée dans des attaques qui pivotent sur le réseau pour voler des données à partir de systèmes compromis.
Les chercheurs de l’unité 42 de Palo Alto Networks ont découvert cette nouvelle version du malware après avoir analysé un module DLL utilisé dans les attaques SnipBot.
Les dernières campagnes SnipBot semblent cibler une variété de victimes dans divers secteurs, y compris les services informatiques, le juridique et l'agriculture, afin de voler des données et de pivoter sur le réseau.
Développement de RomCom
RomCom est une porte dérobée utilisée pour délivrer le ransomware Cuba dans plusieurs campagnes de malvertising, ainsi que pour des opérations de phishing ciblées.
Sa version précédente, surnommée RomCom 4.0 par les chercheurs de Trend Micro à la fin de 2023, était plus légère et discrète par rapport aux variantes précédentes, mais conservait un ensemble de commandes robuste.
Les capacités de RomCom 4.0 incluaient l'exécution de commandes, le vol de fichiers, le déploiement de nouveaux payloads, la modification du registre Windows et l'utilisation d'un protocole TLS plus sécurisé pour les communications de commandement et de contrôle (C2).
SnipBot, que l'unité 42 considère comme RomCom 5.0, utilise un ensemble étendu de 27 commandes.
Ces commandes offrent à l'opérateur un contrôle plus granulaire sur les opérations d'exfiltration de données, permettant de définir des types de fichiers ou des répertoires spécifiques à cibler, de compresser les données volées à l'aide de l'outil d'archivage de fichiers 7-Zip et d'introduire des payloads d'archive à extraire sur l'hôte pour évasion.
De plus, SnipBot emploie maintenant une obfuscation du flux de contrôle basée sur des messages de fenêtre, divisant son code en blocs déclenchés en séquence par des messages de fenêtre personnalisés.
De nouvelles techniques anti-sandboxing incluent des vérifications de hachage sur l'exécutable et le processus créé, ainsi que la vérification de l'existence d'au moins 100 entrées dans les clés de registre "RecentDocs" et 50 sous-clés dans les clés de registre "Shell Bags".
Il est également à noter que le module principal de SnipBot, "single.dll", est stocké sous une forme cryptée dans le registre Windows, d'où il est chargé en mémoire. D'autres modules téléchargés depuis le serveur C2, comme "keyprov.dll", sont également décryptés et exécutés en mémoire.
Vecteurs d'attaque
L'unité 42 a pu récupérer des artefacts d'attaque à partir de soumissions sur VirusTotal, ce qui leur a permis de retracer le vecteur d'infection initial pour SnipBot.
Typiquement, cela commence par des emails de phishing contenant des liens pour télécharger des fichiers apparemment inoffensifs, tels que des documents PDF, conçus pour inciter le destinataire à cliquer sur le lien.
Les chercheurs décrivent également un vecteur initial légèrement plus ancien impliquant un faux site Adobe d'où la victime est censée télécharger une police manquante pour pouvoir lire le fichier PDF joint.
Cela déclenche une série de redirections à travers plusieurs domaines sous le contrôle de l'attaquant ("fastshare[.]click", "docstorage[.]link" et "publicshare[.]link"), livrant finalement un téléchargeur exécutable malveillant depuis des plateformes de partage de fichiers comme "temp[.]sh".
Flux d'exécution le plus récent de SnipBot
Les téléchargeurs sont souvent signés à l'aide de certificats légitimes afin de ne pas déclencher d'avertissements de la part des outils de sécurité de la victime lors du téléchargement d'exécutables ou de fichiers DLL depuis le C2.
Une tactique courante pour charger ces payloads consiste à utiliser le détournement de COM pour les injecter dans "explorer.exe", ce qui permet également de maintenir la persistance entre les redémarrages du système.
Enregistrement d'un DLL malveillant en tant qu'objet COM
Après avoir compromis un système, l'acteur de menace collecte des informations sur le réseau de l'entreprise et le contrôleur de domaine. Ensuite, il vole des types de fichiers spécifiques dans les répertoires Documents, Téléchargements et OneDrive.
L'unité 42 indique qu'une seconde phase de découverte suit, utilisant l'outil AD Explorer qui permet de visualiser et d'éditer Active Directory (AD) ainsi que de naviguer dans la base de données AD.
Les données ciblées sont exfiltrées à l'aide du client PuTTY Secure Copy après avoir été archivées avec WinRAR.
Les chercheurs notent que l'objectif de l'attaquant reste flou en raison de l'ensemble des victimes ciblées dans les attaques SnipBot et RomCom, mais soupçonnent que l'objectif de l'acteur de menace est passé de gains financiers à des opérations d'espionnage.
