Detecção de SnipBot: Uma Nova Variante do Malware RomCom Utiliza Método de Ofuscação de Código Personalizado e Técnicas de Evasão Sofisticadas
Índice:
Uma nova iteração da família de malware RomCom emerge na arena de ameaças cibernéticas. O novo malware, apelidado de SnipBot, usa técnicas complicadas de anti-análise e um método de ofuscação de código personalizado para se mover lateralmente dentro da rede da vítima e realizar a exfiltração de dados.
Detectar Malware SnipBot
O notório malware RomCom ressurgiu com uma nova variante SnipBot, ativamente implantada pelo Tropical Scorpius (também conhecido como UNC2596/UAC-0132) para promover a distribuição do ransomware Cuba. Este grupo também explorou versões mais antigas do RomCom em ataques direcionados contra oficiais ucranianos.
Para se antecipar aos ataques que exploram o backdoor aprimorado SnipBot, os profissionais de segurança podem confiar na Plataforma SOC Prime para defesa cibernética coletiva. Acesse a coleção dedicada de regras Sigma acompanhada de um pacote completo de produtos para detecção avançada de ameaças, caça automatizada de ameaças e engenharia de detecção alimentada por IA. Clique no Explorar Detecções botão abaixo e vá imediatamente para uma coleção de algoritmos de detecção que abordam ataques SnipBot.
Os algoritmos de detecção estão alinhados com o framework MITRE ATT&CK® e são enriquecidos com contexto abrangente de ameaças cibernéticas, incluindo links CTI relevantes, mitigações, binários executáveis e mais metadados acionáveis. Juntamente com as regras Sigma, as equipes podem acessar instantaneamente traduções de regras para as soluções líderes de mercado de SIEM, EDR e XDR.
Além disso, os profissionais de segurança que pretendem analisar retrospectivamente os ataques do malware RomCom podem acessar uma detecção mais relevante buscando no Mercado de Detecção de Ameaças com a tag “família de malware RomCom”.
Análise de Malware SnipBot
No final da primavera de 2022, os mantenedores do ransomware Cuba ressurgiram, fazendo um retorno ousado ao panorama de ameaças cibernéticas ao implantar um novo RAT personalizado chamado RomCom. Mais tarde, no meio do outono de 2022, o CERT-UA alertou a comunidade global de segurança cibernética sobre uma campanha de phishing em andamento visando oficiais ucranianos e explorando o malware RomCom.
Pesquisadores da Unit42 recentemente descobriram a versão mais recente do malware RomCom rastreada como SnipBot. A nova cepa maliciosa apresenta técnicas avançadas de evasão de detecção e um método único de ofuscação de código, construídos sobre aqueles encontrados no RomCom 3.0 e seu derivado, PEAPOD (também conhecido como RomCom 4.0).
No início de abril de 2024, defensores detectaram um módulo DLL incomum, que fazia parte do conjunto de ferramentas do SnipBot. Análises posteriores revelaram cepas de malware relacionadas datando de dezembro de 2023, com evidências sugerindo tentativas de movimentação lateral dentro das redes e exfiltração de arquivos. SnipBot permite que os atacantes executem comandos e façam download de módulos adicionais em sistemas comprometidos. Com base nas capacidades da nova variante que combinam aquelas típicas das versões RomCom 3.0 e PEAPOD (RomCom 4.0), pesquisadores da Unit42 rastreiam a última iteração como RomCom 5.0.
SnipBot opera em múltiplos estágios, começando com um downloader executável, enquanto as cargas subsequentes são arquivos EXE ou DLL. A cadeia de infecção começa com um e-mail contendo um link para um downloader executável disfarçado como um arquivo PDF ou um PDF real. Se a vítima clicar no link fornecido, supostamente para baixar e instalar o pacote de fontes, ela inicia o downloader SnipBot.
Usando a telemetria do Cortex XDR, pesquisadores da Unit42 reconstruíram a atividade pós-infecção do atacante, principalmente operações na linha de comando. Através do módulo principal do SnipBot, “single.dll”, os adversários primeiro reuniram informações sobre a rede interna, incluindo o controlador de domínio, e depois tentaram exfiltrar arquivos dos documentos, downloads e pastas do OneDrive da vítima.
Os atacantes por trás do RomCom tiveram como alvo uma variedade diversificada de vítimas, incluindo organizações nos setores de serviços de TI, jurídico e agrícola. Defensores consideram que os mantenedores do SnipBot mudaram seu foco de ganho financeiro para operações de ciberespionagem, com a Ucrânia e seus aliados continuando sendo os alvos.
A contínua evolução da família de malware RomCom e suas capacidades aprimoradas, identificadas através da análise da última iteração SnipBot, ressaltam a necessidade de permanecer constantemente vigilante e implementar medidas de segurança avançadas para proteger as defesas e dados da organização contra ameaças cibernéticas crescentes. Confie na Attack Detective da SOC Prime para fortalecer sua postura SIEM, obter casos de uso priorizados para alertas de alta fidelidade e adotar uma capacidade de caça a ameaças empacotada perfeitamente alinhada com sua estratégia de cibersegurança.
