Los actores de amenazas detrás de una grupo de malware conocida como RomCom se dirigieron a una empresa de ingeniería civil con sede en EE. UU. a través de un cargador de JavaScript denominado SocGholish para entregar el Mythic Agent.
“Esta es la primera vez que se observa que SocGholish distribuye una carga útil de RomCom”, dijo el investigador de Arctic Wolf Labs, Jacob Faires, en un crónica del martes.
La actividad se ha atribuido con un nivel de confianza medio a suspensión a la Mecanismo 29155 de la Dirección Principal del Estado Anciano de las Fuerzas Armadas de la Convenio Rusa, igualmente conocida como GRU. Según la empresa de ciberseguridad, la entidad objetivo había trabajado en el pasado para una ciudad con estrechos vínculos con Ucrania.
SocGholish (igualmente conocido como FakeUpdates), vinculado a un cámara con motivación financiera rastreado como TA569 (igualmente conocido como Gold Prelude, Mustard Tempest, Purple Vallhund y UNC1543), sirve como intermediario de entrada original, lo que permite a otros actores de amenazas difundir una amplia tono de cargas efectos. Algunos de sus clientes conocidos son Evil Corp, LockBit, Dridex y Raspberry Robin.
Las cadenas de ataque generalmente implican expedir alertas falsas de puesta al día del navegador para Google Chrome o Mozilla Firefox en sitios web legítimos pero comprometidos para engañar a usuarios desprevenidos para que descarguen JavaScript astuto que es responsable de instalar un cargador, que luego recupera malware adicional.
En su anciano parte, los ataques señalan sitios web que están mal protegidos, aprovechando vulnerabilidades de seguridad conocidas en complementos para inyectar código JavaScript diseñado para mostrar la ventana emergente y activar la condena de infección.
RomCom (igualmente conocido como Nebulous Mantis, Storm-0978, Tropical Scorpius, UNC2596 o Void Rabisu), por otro banda, es el nombre asignado a un actor de amenazas seguidor con Rusia que es conocido por incursionar tanto en operaciones de cibercrimen como de espionaje desde al menos 2022.
El actor de amenazas aprovecha varios métodos, incluidos el phishing y los exploits de día cero, para violar las redes objetivo y colocar el troyano de entrada remoto (RAT) del mismo nombre en las máquinas de las víctimas. Los ataques organizados por el clan de hackers han señalado a entidades en Ucrania, así como a organizaciones de defensa relacionadas con la OTAN.
En el ataque analizado por Arctic Wolf, la carga útil de puesta al día falsa permite a los actores de la amenaza ejecutar comandos en la máquina comprometida mediante un shell inverso establecido en un servidor de comando y control (C2). Esto incluye realizar reconocimientos y colocar una puerta trasera Python personalizada con nombre en código VIPERTUNNEL.
Asimismo se entrega un cargador de DLL vinculado a RomCom que venablo Mythic Agent, un componente crucial del entorno de trabajo de equipo rojo post-exploit multiplataforma que se comunica con un servidor correspondiente para permitir la ejecución de comandos, operaciones de archivos y otros.
Si adecuadamente el ataque finalmente no tuvo éxito y fue bloqueado ayer de que pudiera avanzar más, el avance muestra el continuo interés del actor de amenazas RomCom en apuntar a Ucrania o entidades que brindan subsidio al país, sin importar cuán tenue pueda ser la conexión.
“El tiempo transcurrido desde la infección (la puesta al día falsa) hasta la entrega del cargador de RomCom fue de menos de 30 minutos”, dijo Jacob Faires. “La entrega no se realiza hasta que se haya verificado que el dominio Active Directory del objetivo coincide con un valía conocido proporcionado por el actor de la amenaza”.
“La naturaleza generalizada de los ataques SocGholish y la velocidad relativa a la que avanzan desde el entrada original hasta la infección los convierte en una potente amenaza para las organizaciones de todo el mundo”.
