SnipBot-Erkennung: Eine neue RomCom-Malware-Variante nutzt eine benutzerdefinierte Code-Verschleierungsmethode und ausgeklügelte Umgehungstechniken

Eine neuartige Iteration der RomCom Malware-Familie taucht in der Cyber-Bedrohungslandschaft auf. Die neue Malware, genannt SnipBot, verwendet trickreiche Anti-Analyse-Techniken und eine benutzerdefinierte Code-Verschleierungsmethode, um sich seitlich im Netzwerk des Opfers zu bewegen und Daten zu exfiltrieren.

SnipBot-Malware erkennen

Die berüchtigte RomCom-Malware ist mit einer neuen SnipBot-Variante wieder aufgetaucht und wird aktiv von Tropical Scorpius (auch bekannt als UNC2596/UAC-0132) eingesetzt, um die Verbreitung von Cuba-Ransomware voranzutreiben. Diese Gruppe hat auch ältere RomCom-Versionen in gezielten Angriffen gegen ukrainische Beamte ausgenutzt.

Um den Angriffen mit dem erweiterten SnipBot-Backdoor einen Schritt voraus zu sein, könnten Sicherheitsexperten auf die SOC Prime Plattform für kollektive Cyber-Abwehr vertrauen. Greifen Sie auf die dedizierte Sammlung von Sigma-Regeln zu, begleitet von einer kompletten Produktpalette für fortschrittliche Bedrohungserkennung, automatisierte Bedrohungsjagd und KI-gestützte Erkennungstechnik. Drücken Sie den Suche nach Erkennungen Button unten und tauchen Sie sofort in eine Sammlung von Erkennungsalgorithmen ein, die sich mit SnipBot-Angriffen befassen.

Suche nach Erkennungen

Die Erkennungsalgorithmen sind auf das MITRE ATT&CK® Framework abgestimmt und werden mit umfassendem Cyber-Bedrohungskontext angereichert, einschließlich relevanter CTI-Links, Gegenmaßnahmen, ausführbarer Binärdateien und weiteren verwertbaren Metadaten. Neben Sigma-Regeln können Teams sofort auf Regelübersetzungen für führende SIEM-, EDR- und XDR-Lösungen zugreifen.

Darüber hinaus könnten Sicherheitsexperten, die RomCom-Malware-Angriffe rückwirkend analysieren möchten, relevantere Erkennungen finden, indem sie im Threat Detection Marketplace mit dem Tag „RomCom“ suchen.

SnipBot-Malware-Analyse

Im späten Frühjahr 2022 kehrten die Betreiber der Cuba-Ransomware zurück und machten eine kühne Rückkehr zur Cyber-Bedrohungslandschaft, indem sie einen neuartigen benutzerdefinierten RAT mit dem Namen RomCom einsetzten. Später, im Herbst 2022, warnte CERT-UA die globale Cybersicherheitsgemeinschaft vor einer laufenden Phishing-Kampagne, die auf ukrainische Beamte abzielt und die RomCom-Malware. 

verwendet. Unit42-Forscher haben kürzlich die neueste RomCom-Malware-Version entdeckt, die als SnipBot verfolgt wird. Der neue bösartige Strang bietet fortschrittliche Erkennungsausweichtechniken und eine einzigartige Code-Verschleierungsmethode, die auf denen von RomCom 3.0 und seinem Ableger PEAPOD (auch bekannt als RomCom 4.0) basiert.

Anfang April 2024 entdeckten Verteidiger ein ungewöhnliches DLL-Modul, das Teil des SnipBot-Toolsets war. Weitere Analysen enthüllten verwandte Malware-Stränge, die bis Dezember 2023 zurückreichen, wobei Beweise darauf hindeuten, dass versucht wurde, seitlich in Netzwerke zu wechseln und Dateien zu exfiltrieren. SnipBot ermöglicht Angreifern die Ausführung von Befehlen und das Herunterladen zusätzlicher Module auf kompromittierte Systeme. Basierend auf den neuen Variantenfähigkeiten, die die typischen beider Versionen RomCom 3.0 und PEAPOD (RomCom 4.0) kombinieren, verfolgen die Forscher von Unit42 die neueste Iteration als RomCom 5.0.

SnipBot arbeitet in mehreren Stufen, beginnend mit einem ausführbaren Downloader, während nachfolgende Nutzlasten entweder EXE- oder DLL-Dateien sind. Die Infektionskette beginnt mit einer E-Mail, die einen Link zu einem ausführbaren Downloader enthält, der als PDF-Datei oder tatsächliches PDF getarnt ist. Wenn das Opfer auf den bereitgestellten Link klickt, angeblich um das Schriftartenpaket herunterzuladen und zu installieren, startet es den SnipBot-Downloader.

Unter Verwendung von Cortex XDR-Telemetrie rekonstruierten Unit42-Forscher die Aktivitäten des Angreifers nach der Infektion, hauptsächlich über Befehlszeilenoperationen. Durch SnipBot’s Hauptmodul „single.dll“ sammelten die Angreifer zunächst Informationen über das interne Netzwerk, einschließlich des Domänencontrollers, und versuchten dann, Dateien aus den Dokumenten-, Downloads- und OneDrive-Ordnern des Opfers zu exfiltrieren.

Die Angreifer hinter RomCom haben ein breites Spektrum an Opfern ins Visier genommen, darunter Unternehmen aus den Bereichen IT-Dienstleistungen, Recht und Landwirtschaft. Verteidiger sind der Ansicht, dass sich die Betreiber von SnipBot von finanziellen Gewinnen auf Cyber-Spionage-Operationen verlagert haben, wobei die Ukraine und ihre Verbündeten weiterhin die Ziele bleiben.

Die kontinuierliche Entwicklung der RomCom-Malware-Familie und ihre erweiterten Fähigkeiten, die durch die Analyse der neuesten SnipBot-Iteration identifiziert wurden, unterstreichen die Notwendigkeit, stets wachsam zu bleiben und fortschrittliche Sicherheitsmaßnahmen zu implementieren, um die Verteidigung und Daten der Organisation vor zunehmenden Cyber-Bedrohungen zu schützen. Verlassen Sie sich auf SOC Prime’s Attack Detective um Ihre SIEM-Haltung zu stärken, priorisierte Anwendungsfälle für hochpräzise Alarmierung zu erhalten und eine perfekt auf Ihre Cybersicherheitsstrategie abgestimmte, paketierte Threat-Hunting-Fähigkeit zu übernehmen.