Detección de SnipBot: Una Nueva Variante de Malware RomCom Utiliza un Método Personalizado de Ofuscación de Código y Técnicas de Evasión Sofisticadas
Tabla de contenidos:
Una nueva iteración de la familia de malware RomCom emerge en el ámbito de amenazas cibernéticas. El nuevo malware, llamado SnipBot, utiliza técnicas complicadas de antianálisis y un método de ofuscación de código personalizado para moverse lateralmente dentro de la red de la víctima y realizar exfiltración de datos.
Detectar SnipBot Malware
El notorio malware RomCom ha resurgido con una nueva variante SnipBot, desplegada activamente por Tropical Scorpius (también conocido como UNC2596/UAC-0132) para impulsar la distribución de ransomware Cuba. Este grupo también ha explotado versiones más antiguas de RomCom en ataques dirigidos contra funcionarios ucranianos.
Para adelantarse a los ataques que aprovechan el backdoor mejorado de SnipBot, los profesionales de seguridad podrían confiar en SOC Prime Platform para la defensa cibernética colectiva. Acceda a la colección dedicada de reglas Sigma acompañada de un conjunto completo de productos para detección avanzada de amenazas, análisis automático de amenazas e ingeniería de detección impulsada por IA. Pulse el botón de Explorar Detecciones a continuación y profundice inmediatamente en una colección de algoritmos de detección que abordan los ataques SnipBot.
Los algoritmos de detección están alineados con el marco MITRE ATT&CK® y están enriquecidos con un contexto de amenazas cibernéticas completo, incluidos enlaces CTI relevantes, mitigaciones, binarios ejecutables y más metadatos procesables. Junto con las reglas Sigma, los equipos pueden acceder instantáneamente a traducciones de reglas para las soluciones líderes de la industria SIEM, EDR y XDR.
Además, los profesionales de la seguridad que buscan analizar ataques del malware RomCom retrospectivamente podrían acceder a detección más relevante buscando en el Threat Detection Marketplace con la etiqueta “familia de malware RomCom”.
Análisis de SnipBot Malware
A finales de la primavera de 2022, los mantenedores del ransomware Cuba reemergieron, haciendo un retorno audaz al panorama de amenazas cibernéticas al desplegar un RAT personalizado nuevo llamado RomCom. Más tarde, a mediados del otoño de 2022, CERT-UA alertó a la comunidad de ciberseguridad global sobre una campaña de phishing en curso dirigida a funcionarios ucranianos y que aprovechaba el malware RomCom..
Recientemente, los investigadores de Unit42 descubrieron la última versión del malware RomCom rastreada como SnipBot. La nueva cepa maliciosa presenta técnicas avanzadas de evasión de detección y un método único de ofuscación de código, basándose en aquellas encontradas en RomCom 3.0 y su derivado, PEAPOD (también conocido como RomCom 4.0).
A principios de abril de 2024, los defensores detectaron un módulo DLL inusual, que era parte del conjunto de herramientas de SnipBot. Un análisis posterior reveló cepas de malware relacionadas que datan de diciembre de 2023, con evidencia que sugiere intentos de moverse lateralmente dentro de las redes y exfiltrar archivos. SnipBot permite a los atacantes ejecutar comandos y descargar módulos adicionales en sistemas comprometidos. Basado en las capacidades del nuevo variante que combina aquellas típicas de ambas versiones, RomCom 3.0 y PEAPOD (RomCom 4.0), los investigadores de Unit42 rastrean la última iteración como RomCom 5.0.
SnipBot opera en múltiples etapas, comenzando con un descargador ejecutable, mientras que las cargas útiles posteriores son archivos EXE o DLL. La cadena de infección comienza con un correo electrónico que contiene un enlace a un descargador ejecutable disfrazado como un archivo PDF o un PDF real. Si la víctima hace clic en el enlace proporcionado, supuestamente para descargar e instalar el paquete de fuentes, lanzan el descargador de SnipBot.
Usando la telemetría de Cortex XDR, los investigadores de Unit42 reconstruyeron la actividad posterior a la infección del atacante, principalmente operaciones de línea de comandos. A través del módulo principal de SnipBot, “single.dll”, los adversarios primero recopilaron información sobre la red interna, incluido el controlador de dominio, y luego intentaron exfiltrar archivos de los documentos de la víctima, descargas y carpetas de OneDrive.
Los atacantes detrás de RomCom han apuntado a una amplia gama de víctimas, incluidas organizaciones en los sectores de servicios de TI, legal y agricultura. Los defensores consideran que los mantenedores de SnipBot han cambiado su enfoque de la ganancia financiera a operaciones de ciberespionaje, con Ucrania y sus aliados todavía como los objetivos.
La evolución continua de la familia de malware RomCom y sus capacidades mejoradas, identificadas a través del análisis de la última iteración de SnipBot, subrayan la necesidad de mantenerse constantemente vigilante e implementar medidas de seguridad avanzadas para salvaguardar las defensas y los datos de la organización contra las crecientes amenazas cibernéticas. Confíe en el Detective de Ataques de SOC Prime para fortalecer su postura de SIEM, obtener casos de uso priorizados para alertas de alta fidelidad y adoptar una capacidad empaquetada de búsqueda de amenazas perfectamente alineada con su estrategia de ciberseguridad.
