Romcom Backdoor'un yeni, hafif bir varyantı, cinsiyet eşitliğine ve siyasetteki kadınlara odaklanan bir zirve olan Brüksel'deki Kadın Siyasi Liderler (WPL) zirvesi katılımcılarına karşı konuşlandırıldı.
Kampanya, zirveye katılmak veya sadece ilgilenmek isteyen kişileri yemlemek için resmi WPL portalını taklit eden sahte bir web sitesi kullandı.
Yeni varyantı analiz eden bir trend mikro raporu, firma tarafından 'Void Rabisu' olarak izlenen operatörlerinin, keşfi daha da zorlaştırmak için C2 (komut ve kontrol) iletişiminde yeni bir TLS-uygulama tekniği ile daha gizli bir arka kapı kullandığı konusunda uyarıyor.
Ayrıca, en son saldırı, grubun daha önce Küba fidye yazılımı bağlı kuruluşuna atfedilen fırsatçı fidye yazılımı saldırılarından geçişini, Microsoft ürünlerinde sıfır günlük güvenlik açıklarının kullanılmasını içeren üst düzey siber boyama kampanyasına geçiyor.
Ağustos 2023'te Void Rabisu, wplsummit.org adresinde barındırılan gerçek kadın siyasi liderleri (WPL) web sitesini taklit etmek için tasarlanmış 'WPLSummit [.] Com' adresinde kötü niyetli bir web sitesi kurdu.
Sahte site, etkinliğin iki gününden resimler içeren, gerçek siteden çekilen 'Videos & Fotoğraflar' adlı bir düğmeden bir onedrive klasöre bağlandı ve 'yayınlanmamış resimler' adlı bir kötü amaçlı yazılım indiricisi.
Kötü niyetli yürütülebilir, bir Elbor LLC sertifikası tarafından imzalanır ve tuzak görevi görecek 56 fotoğraf içeren kendi kendini açıklayan bir arşiv, ikinci bir şifreli dosya ise uzak bir ana bilgisayardan indirilir.
İkinci yük, algılamadan kaçınmak için şifre çözülmüş ve belleğe yüklenen ve saldırganın sunucusuyla iletişim kurmak için gerekli ek bileşenleri almaya devam eden bir DLL'dir.
Trend Micro, Romcom'un en son, soyulmuş varyantını arka kapının dördüncü büyük sürümü olarak tanımlıyor ve bunun son zamanlarda 'Peapod' adlı aynı kötü amaçlı Volexity araştırmacıları olduğunu açıklıyor.
Void Rabisu operasyonlarında görülen önceki sürüm olan Romcom 3.0 ile karşılaştırıldığında, yeni arka kapı varyantı önemli değişiklikler geçirdi, bu da onu daha hafif ve daha sert hale getirdi.
Şimdi sadece aşağıdaki on komutu destekliyor, önceki 42'den daha keskin bir azalma.
Ayrıca, bileşenlerini doğrudan cihazlara bırakmak için değiştirilmiş MSI'ları kullanmak yerine, yeni varyant, tüm bileşenlerini bellekte yükleyerek XOR ile şifreli DLL'leri almak için bir exe dosyasını kullanır.
Romcom 4.0 ayrıca C2 sunucusu ile güvenli iletişim sağlamak için tasarlanmış bir protokol olan Transport Katmanı Güvenliği (TLS) ile ilgili yeni özellikler de içeriyordu.
Kötü amaçlı yazılım, Winhttp işlevlerini, işletim sisteminin varsayılan TLS sürümünü seçmesine izin vermek yerine özellikle TLS sürüm 1.2'yi kullanmaya zorlayacak şekilde kodlanmıştır.
Bu uygulama sistemi, Micro trend en yeni Romcom varyantına karşı güvenli olduğunu düşünen Windows 7'de bir hatayla sonuçlanır.
Bu mekanizmanın amacı, C2 iletişimini gözetleme, otomatik keşfi karmaşıklaştırmaya ve muhtemelen saldırganların uygun olmayan kurbanları filtrelemesine izin vermesi muhtemeldir.
Genel olarak, Void Rabisu'nun taktikleri ve Romcom kötü amaçlı yazılımının konuşlandırılması bulutlu.
Bununla birlikte, arka kapının gelişiminin hala devam ettiği ve operatörlerinin giderek daha fazla üst düzey siber casusluk üzerine odaklandığı açıktır.
Trend Micro, Boid Rabisu'nun özel çıkar gruplarıyla ilgili tüm büyük konferansları hedeflemesinin muhtemel olduğu sonucuna varıyor, bu nedenle etkinlik sitelerini ziyaret ederken dikkatli olunması önerildi.
Toddycat hackerlar Asya telekomlarını hedeflemek için 'tek kullanımlık' kötü amaçlı yazılım kullanıyor
Budworm Hackers, özel kötü amaçlı yazılımlarla telcos ve govt orgs hedef
ABD ve Japonya, Çinli hackerların geri kapı sırtını Cisco yönlendiricileri uyarıyor
Asya Hükümeti'ne karşı saldırıda kaçan Gelsemium hacker
‘Sandman’ hackerlar yeni luadream kötü amaçlı yazılımlarla arka kapı telcos
Kaynak: Bleeping Computer