Détection de SnipBot : Une nouvelle variante du malware RomCom utilise une méthode d’obfuscation de code sur mesure et des techniques d’évasion sophistiquées
Table des matières :
Une nouvelle itération de la famille de logiciels malveillants RomCom émerge dans l’arène des cybermenaces. Le nouveau logiciel malveillant, baptisé SnipBot, utilise des techniques anti-analyse complexes et une méthode d’obfuscation de code personnalisée pour se déplacer latéralement dans le réseau de la victime et effectuer une exfiltration de données.
Détecter le malware SnipBot
Le tristement célèbre malware RomCom a refait surface avec une nouvelle variante SnipBot, déployée activement par Tropical Scorpius (alias UNC2596/UAC-0132) pour faciliter la distribution du rançongiciel Cuba. Ce groupe a également exploité d’anciennes versions de RomCom dans des attaques ciblées contre des responsables ukrainiens.
Pour garder une longueur d’avance sur les attaques exploitant la porte dérobée améliorée SnipBot, les professionnels de la sécurité pourraient s’appuyer sur la plateforme SOC Prime pour une défense cybernétique collective. Accédez à la collection dédiée de règles Sigma accompagnée d’une suite complète de produits pour la détection avancée des menaces, la chasse aux menaces automatisée et l’ingénierie de détection propulsée par l’IA. Cliquez sur le bouton Explorer les détections ci-dessous et accédez immédiatement à une collection d’algorithmes de détection traitant des attaques SnipBot.
Les algorithmes de détection sont alignés sur le cadre MITRE ATT&CK® et sont enrichis par un contexte complet de menaces cybernétiques, y compris des liens CTI pertinents, des mesures d’atténuation, des binaires exécutables et d’autres métadonnées exploitables. En plus des règles Sigma, les équipes peuvent immédiatement atteindre des traductions de règles vers les solutions SIEM, EDR et XDR de pointe.
De plus, les professionnels de la sécurité cherchant à analyser rétrospectivement les attaques de malware RomCom peuvent accéder à des détections plus pertinentes en recherchant sur le Threat Detection Marketplace avec le tag “famille de logiciels malveillants RomCom”.
Analyse du malware SnipBot
À la fin du printemps 2022, les mainteneurs du rançongiciel Cuba sont réapparus, faisant un retour audacieux sur le paysage des cybermenaces en déployant un nouveau RAT personnalisé baptisé RomCom. Plus tard, à la mi-automne 2022, le CERT-UA a alerté la communauté mondiale de la cybersécurité sur une campagne de phishing en cours ciblant des responsables ukrainiens et exploitant le malware RomCom.
Les chercheurs de Unit42 ont récemment découvert la dernière version du malware RomCom suivie sous le nom de SnipBot. La nouvelle souche malveillante présente des techniques avancées d’évasion de détection et une méthode unique d’obfuscation de code, reposant sur celles trouvées dans RomCom 3.0 et sa dérivée, PEAPOD (alias RomCom 4.0).
Début avril 2024, les défenseurs ont détecté un module DLL inhabituel, qui faisait partie de l’outillage de SnipBot. Une analyse plus poussée a révélé des souches malveillantes liées datant de décembre 2023, avec des preuves suggérant des tentatives de mouvement latéral dans les réseaux et l’exfiltration de fichiers. SnipBot permet aux attaquants d’exécuter des commandes et de télécharger des modules additionnels sur les systèmes compromis. Basé sur les nouvelles capacités de la variante qui combinent celles typiques des versions RomCom 3.0 et PEAPOD (RomCom 4.0), les chercheurs de Unit42 suivent la dernière itération sous le nom de RomCom 5.0.
SnipBot opère en plusieurs étapes, commençant par un téléchargeur exécutable, tandis que les charges utiles ultérieures sont soit des fichiers EXE, soit des DLL. La chaîne d’infection commence par un e-mail contenant un lien vers un téléchargeur exécutable déguisé en fichier PDF ou un véritable PDF. Si la victime clique sur le lien fourni, censé télécharger et installer le package de police, elle lance le téléchargeur SnipBot.
En utilisant la télémétrie de Cortex XDR, les chercheurs de Unit42 ont reconstruit l’activité post-infection de l’attaquant, principalement des opérations en ligne de commande. Grâce au module principal de SnipBot, “single.dll”, les adversaires ont d’abord collecté des informations sur le réseau interne, y compris le contrôleur de domaine, puis ont tenté d’exfiltrer des fichiers des dossiers documents, téléchargements et OneDrive de la victime.
Les attaquants derrière RomCom ont ciblé une gamme diversifiée de victimes, y compris des organisations des secteurs des services informatiques, juridiques et agricoles. Les défenseurs estiment que les mainteneurs de SnipBot ont déplacé leur focus du gain financier vers des opérations de cyber-espionnage, l’Ukraine et ses alliés restant les cibles.
L’évolution continue de la famille de logiciels malveillants RomCom et de ses capacités améliorées, identifiées grâce à l’analyse de la dernière itération SnipBot, souligne la nécessité de rester constamment vigilant et de mettre en œuvre des mesures de sécurité avancées pour protéger les défenses de l’organisation et ses données contre les menaces cybernétiques croissantes. Comptez sur Attack Detective de SOC Prime pour renforcer votre posture SIEM, obtenir des cas d’utilisation prioritaires pour une alerte de haute fidélité, et adopter une capacité de chasse aux menaces conditionnée parfaitement alignée avec votre stratégie de cybersécurité.
