Une nouvelle variante du malware RomCom appelée Snippet a été utilisée dans des attaques qui pivotent sur le réseau pour voler des données à partir de systèmes compromis.
Les chercheurs de l’unité 42 de Palo Alto Network ont découvert la nouvelle version du malware après avoir analysé un module DLL utilisé dans les attaques SnipBot.
Les dernières campagnes d’extraits semblent cibler une variété de victimes dans divers secteurs, y compris les services informatiques, juridiques et agricoles, pour voler des données et pivoter sur le réseau.
Développement de RomCom
RomCom est une porte dérobée qui a été utilisée pour livrer Cuba ransomware dans plusieurs campagnes de publicité malveillante [1, 2], ainsi que pour des opérations de phishing ciblées [1, 2].
Sa version précédente, baptisée RomCom 4.0 par les chercheurs de Trend Micro fin 2023, était plus légère et plus furtive que les variantes précédentes, mais conservait un ensemble robuste de commandes.
Les capacités de RomCom 4.0 comprenaient l’exécution de commandes, le vol de fichiers, la suppression de nouvelles charges utiles, la modification du registre Windows et l’utilisation du protocole TLS plus sécurisé pour les communications de commande et de contrôle (C2).
SnipBot, que l’unité 42 considère comme RomCom 5.0, utilise un ensemble étendu de 27 commandes.
Ces commandes donnent à l’opérateur un contrôle plus granulaire sur les opérations d’exfiltration de données, permettant de définir des types de fichiers ou des répertoires spécifiques à cibler, de compresser les données volées à l’aide de l’outil d’archivage de fichiers 7-Zip, et également d’introduire des charges utiles d’archives à extraire sur l’hôte pour l’évasion.
De plus, SnipBot utilise désormais l’obscurcissement du flux de contrôle basé sur les messages de fenêtre, divisant son code en blocs déclenchés en séquence par des messages de fenêtre personnalisés.
Les nouvelles techniques anti-sandboxing incluent des vérifications de hachage sur l’exécutable et le processus créé et la vérification de l’existence d’au moins 100 entrées dans les « Documents récents » et 50 sous-clés dans les clés de registre « Shell Bags ».
Il convient également de mentionner que le module principal de SnipBot, » single.dll, » est stocké sous une forme cryptée dans le registre Windows à partir duquel il est chargé en mémoire. Modules supplémentaires téléchargés à partir du serveur C2, comme » keyprov.dll, » sont également déchiffrés et exécutés en mémoire.
Vecteurs d’attaque
L’unité 42 a pu récupérer des artefacts d’attaque à partir des soumissions de VirusTotal, ce qui leur a permis de revenir au vecteur d’infection initial pour SnipBot.
En règle générale, cela commence par des e-mails de phishing contenant des liens pour télécharger des fichiers apparemment inoffensifs, tels que des documents PDF, conçus pour inciter le destinataire à cliquer sur le lien.
Les chercheurs décrivent également un vecteur initial légèrement plus ancien impliquant un faux site Adobe à partir duquel la victime est censée télécharger une police manquante pour pouvoir lire le fichier PDF joint.
Cela déclenche une série de redirections sur plusieurs domaines sous le contrôle de l’attaquant (« fastshare[.]cliquez sur « » stockage de documents[.] lien, » et » partage public[.] link »), fournissant finalement un téléchargeur exécutable malveillant à partir de plates-formes de partage de fichiers telles que » temp[.] sh ».
Les téléchargeurs sont souvent signés à l’aide de certificats légitimes afin de ne pas déclencher d’avertissements des outils de sécurité de la victime lors de la récupération des exécutables des fichiers DLL à partir du C2.
Une tactique courante pour charger ces charges utiles consiste à utiliser le détournement de COM pour les injecter dans « explorer ».exe, » qui a également atteint la persistance entre les redémarrages du système.
Après avoir compromis un système, l’auteur de la menace collecte des informations sur le réseau de l’entreprise et le contrôleur de domaine. Ensuite, ils volent des types de fichiers spécifiques dans les répertoires Documents, Téléchargements et OneDrive.
L’unité 42 indique qu’une deuxième phase de découverte suit à l’aide de l’utilitaire AD Explorer qui permet d’afficher et de modifier Active Directory (AD) ainsi que de naviguer dans la base de données AD.
Les données ciblées sont exfiltrées à l’aide du client PuTTY Secure Copy après leur archivage avec WinRAR.
Les chercheurs disent que l’objectif de l’attaquant reste flou en raison de l’ensemble des victimes ciblées par les attaques de SnipBot et de RomCom, mais soupçonnent que l’objectif de l’acteur de la menace est passé d’un gain financier à des opérations d’espionnage.