Pelaku ancaman di balik RomCom RAT (trojan akses jarak jauh) telah memperbarui vektor serangannya dan sekarang menyalahgunakan merek perangkat lunak terkenal untuk distribusi.
Dalam kampanye baru yang ditemukan oleh BlackBerrypelaku ancaman RomCom ditemukan membuat situs web yang mengkloning portal unduhan resmi untuk Monitor Kinerja Jaringan SolarWinds (NPM), pengelola kata sandi KeePass, dan PDF Reader Pro, yang pada dasarnya menyamarkan malware sebagai program yang sah.
Selain itu, Unit 42 telah menemukan bahwa pelaku ancaman membuat situs yang meniru perangkat lunak Pencadangan dan Pemulihan Veeam.
Selain menyalin kode HTML untuk mereproduksi situs asli, para peretas juga mendaftarkan domain ‘mirip’ yang salah ketik untuk lebih menambah keaslian situs jahat.
BlackBerry sebelumnya mendeteksi malware RomCom yang digunakan dalam serangan terhadap institusi militer di Ukraina.
Meniru perangkat lunak yang sah
Situs web yang meniru SolarWinds NPM memberikan versi uji coba gratis yang di-trojanisasi dan bahkan menautkan ke formulir pendaftaran SolarWinds yang sebenarnya, yang jika diisi oleh korban, menyebabkan dihubungi oleh agen dukungan pelanggan yang sebenarnya.
Aplikasi yang diunduh, bagaimanapun, telah dimodifikasi untuk menyertakan DLL berbahaya yang mengunduh dan menjalankan salinan RomCom RAT dari folder “C:\Users\user\AppData\Local\Temp\winver.dll”.
Menariknya, executable yang diunduh (“Solarwinds-Orion-NPM-Eval.exe”) ditandatangani dengan sertifikat digital yang sama dengan yang digunakan operator RAT dalam kampanye Ukraina, yang menunjukkan pemiliknya sebagai “Wechapaisch Consulting & Construction Limited.”
Dalam kasus situs kloning untuk KeePass, yang baru ditemukan BlackBerry pada 1 November 2022, pelaku ancaman menyebarkan arsip bernama “KeePass-2.52.zip.”
File ZIP berisi beberapa file, termasuk “hlpr.dat,” yang merupakan penetes RomCom RAT, dan “setup.exe,” yang meluncurkan penetes. Setup.exe adalah apa yang diharapkan pengguna untuk dijalankan secara manual setelah mengunduh arsip.
.png)
Peneliti BlackBerry juga menemukan situs KeePass palsu kedua dan situs PDF Reader Pro, keduanya menggunakan bahasa Ukraina.
Ini menunjukkan bahwa sementara RomCom masih menargetkan Ukraina, mereka juga telah mengubah target untuk menyertakan pengguna berbahasa Inggris.
Saat ini tidak jelas bagaimana pelaku ancaman memikat calon korban ke situs, tetapi bisa melalui phishing, keracunan SEO, atau posting forum/media sosial.
Tidak ada atribusi
Pada Agustus 2022, Unit 42 Jaringan Palo Alto menghubungkan RAT RomCom dengan afiliasi Cuba Ransomware bernama ‘Scorpio Tropis,’ karena ini adalah aktor pertama yang menggunakannya.
RomCom RAT adalah malware yang saat itu tidak dikenal yang mendukung komunikasi berbasis ICMP dan menawarkan kepada operator sepuluh perintah untuk tindakan file, proses pemijahan dan spoofing, eksfiltrasi data, dan meluncurkan shell terbalik.
Laporan BlackBerry sebelumnya di RomCom RAT berpendapat ada tidak ada bukti konkrit mengarahkan operasi ke aktor ancaman yang diketahui.
Laporan baru menyebutkan Cuba Ransomware dan Industrial Spy berpotensi terkait dengan operasi ini; namun, motivasi di balik operator RomCom masih belum jelas.
