Rilevamento di SnipBot: Una Nuova Variante del Malware RomCom Sfrutta un Metodo Personalizzato di Offuscamento del Codice e Tecniche di Evasione Sofisticate
Indice:
Una nuova iterazione della famiglia di malware RomCom emerge nell’arena delle minacce informatiche. Il nuovo malware, chiamato SnipBot, utilizza tecniche anti-analisi sofisticate e un metodo di offuscamento del codice personalizzato per muoversi lateralmente nella rete della vittima e eseguire l’esfiltrazione dei dati.
Rileva il Malware SnipBot
Il famigerato malware RomCom è riemerso con una nuova variante SnipBot, attivamente distribuita da Tropical Scorpius (alias UNC2596/UAC-0132) per guidare la distribuzione del ransomware Cuba. Questo gruppo ha anche sfruttato versioni più vecchie di RomCom in attacchi mirati contro funzionari ucraini.
Per stare al passo con gli attacchi che sfruttano il backdoor potenziato SnipBot, i professionisti della sicurezza possono fare affidamento su SOC Prime Platform per la difesa cibernetica collettiva. Accedi alla collezione dedicata di regole Sigma accompagnata da un set completo di prodotti per il rilevamento avanzato delle minacce, la caccia alle minacce automatizzata e l’ingegneria della rilevazione potenziata dall’AI. Clicca il Esplora le Rilevazioni pulsante qui sotto e approfondisci immediatamente una collezione di algoritmi di rilevamento che affrontano gli attacchi SnipBot.
Gli algoritmi di rilevamento sono allineati con il framework MITRE ATT&CK® e sono arricchiti con un contesto completo sulla minaccia informatica, inclusi link CTI rilevanti, mitigazioni, binari eseguibili e altro metadato azionabile. Insieme alle regole Sigma, i team possono raggiungere istantaneamente traduzioni di regole per le soluzioni SIEM, EDR e XDR leader nel settore.
Inoltre, i professionisti della sicurezza che mirano ad analizzare retrospettivamente gli attacchi del malware RomCom possono accedere a rilevamenti più rilevanti cercando nel Threat Detection Marketplace con il tag “famiglia di malware RomCom”.
Analisi del Malware SnipBot
A fine primavera 2022, i manutentori del ransomware Cuba sono riemersi, facendo un audace ritorno nel panorama delle minacce informatiche distribuendo un nuovo RAT personalizzato chiamato RomCom. Più tardi, a metà autunno 2022, CERT-UA ha avvisato la comunità globale della sicurezza informatica riguardo a una campagna di phishing in corso che mirava ai funzionari ucraini e sfruttava il malware RomCom.
I ricercatori di Unit42 hanno recentemente scoperto l’ultima versione del malware RomCom tracciato come SnipBot. La nuova variante dannosa presenta tecniche avanzate di evasione della rilevazione e un metodo unico di offuscamento del codice, basandosi su quelle trovate in RomCom 3.0 e nel suo derivato, PEAPOD (alias RomCom 4.0).
All’inizio di aprile 2024, i difensori hanno rilevato un modulo DLL insolito, che faceva parte del set di strumenti di SnipBot. Ulteriori analisi hanno rivelato ceppi di malware correlati risalenti a dicembre 2023, con prove che suggeriscono tentativi di movimento laterale all’interno delle reti e di esfiltrazione di file. SnipBot consente agli aggressori di eseguire comandi e scaricare moduli aggiuntivi sui sistemi compromessi. Basandosi sulle nuove capacità della variante che combinano quelle tipiche delle versioni RomCom 3.0 e PEAPOD (RomCom 4.0), i ricercatori di Unit42 tracciano l’ultima iterazione come RomCom 5.0.
SnipBot opera in più fasi, a partire da un downloader eseguibile, mentre i payload successivi sono file EXE o DLL. La catena di infezione inizia con un’email contenente un link a un downloader eseguibile mascherato da file PDF o un PDF effettivo. Se la vittima clicca sul link fornito, presumibilmente per scaricare e installare il pacchetto font, avvia il downloader SnipBot.
Utilizzando la telemetria di Cortex XDR, i ricercatori di Unit42 hanno ricostruito l’attività post-infezione degli aggressori, principalmente operazioni sulla riga di comando. Attraverso il modulo principale di SnipBot, “single.dll”, gli avversari hanno prima raccolto informazioni sulla rete interna, incluso il controller di dominio, e poi hanno tentato di esfiltrare file dai documenti, download e cartelle OneDrive della vittima.
Gli attaccanti dietro RomCom hanno preso di mira una gamma diversificata di vittime, comprese organizzazioni nei servizi IT, legali e nel settore agricolo. I difensori considerano che i manutentori di SnipBot abbiano spostato il loro focus dal guadagno finanziario alle operazioni di cyber-spionaggio, con l’Ucraina e i suoi alleati che restano ancora i bersagli.
L’evoluzione continua della famiglia di malware RomCom e le sue capacità avanzate, identificate attraverso l’analisi dell’ultima iterazione di SnipBot, evidenziano la necessità di rimanere costantemente vigili e implementare misure di sicurezza avanzate per proteggere le difese organizzative e i dati contro le minacce informatiche crescenti. Affidati a SOC Prime’s Attack Detective per rafforzare la tua postura SIEM, ottenere casi d’uso prioritari per un allarme ad alta fedeltà e adottare una capacità di ricerca delle minacce confezionata perfettamente allineata con la tua strategia di cybersicurezza.
