作者：黑莓研究和情报团队
译者：知道创宇404实验室翻译组
原文链接：https://blogs.blackberry.com/en/2022/10/unattributed-romcom-threat-actor-spoofing-popular-apps-now-hits-ukrainian-militaries

总结

曾经不为人知的RomCom RAT黑客现在瞄准乌克兰军事机构。已知同一黑客部署流行软件“高级IP扫描仪”的欺骗版本，在公开曝光后，它切换到了另一个流行应用程序，称为“PDF Filler”。这表明其背后的团队正在积极开发新功能。

背景

最初的“高级IP扫描器”活动发生在2022年7月23日。一旦受害者安装了特洛伊木马捆绑包，就会将RomCom RAT丢弃到系统中。2022年10月10日，黑客通过混淆所有字符串、作为COM对象执行等方式改进了规避技术。

攻击向量

早期版本的RomCom RAT是通过欺骗合法的“高级IP扫描仪”应用程序网站的虚假网站分发的。特洛伊木马化的“高级IP扫描程序”软件包托管在“高级IP扫描程序[.]com”和“高级IP扫描仪[.]com”域上。这两个域在历史上都解析为相同的IP地址167[.]71[.]175[.]165。 黑客还确保这两个虚假网站看起来与原始网站几乎相同——“高级IP扫描程序.com”。

10月20日，这名黑客在“pdfFiller”网站上部署了一场新的恶意活动，删除了一个特洛伊木马版本，并将RomCom RAT作为最终有效载荷。

武器化

最早版本的RomCom RAT采用“高级IP扫描仪”软件包。黑莓研究和情报团队已经确定了两个版本——“Advanced_IP_Scanner_V2.5.4594.1.zip”和“advancedipscanner.msi”。黑客通过在文件名中添加单个字母“V”来欺骗名为“Advanced_IP_Scanner_2.5.4594.1.exe”的合法工具。

解压缩后，它包含27个文件，其中四个是恶意投放器。

Dropper RomCom从其资源中提取有效负载，并在以下文件夹中创建它：

С:UsersUsernameAppDataLocalTempwinver.dll

RomCom的主要功能包括但不限于收集系统信息（磁盘和文件信息枚举），以及有关本地安装的应用程序和内存进程的信息。它还截屏并将收集的数据传输到硬编码的命令和控制（C2）。如果收到特殊命令，它支持从受害者的计算机上自动删除。

最新版本的RomCom RAT已捆绑在“PDFFiller.zip”包中。

与攻击乌克兰军事机构有关

10月21日，RomCom RAT背后的黑客瞄准了乌克兰的军事机构。最初的感染媒介是一封带有嵌入式链接的电子邮件，该链接导致一个虚假网站丢弃下一阶段的下载程序。诱饵是一份乌克兰语的假文件，名为“Наказ_309.pdf”（英语翻译为“Order_309.pdf”）。

这是一个 HTML 文件，其中包含下一阶段恶意可移植可执行 （PE） 文件的下载 URL。

丢弃的恶意“AcroRdrDCx642200120169_uk_UA.exe”文件具有签名者“Blythe Consulting sp. z o.o.”的有效数字签名。

执行时，它将删除以下文件：“C:UsersPublicLibrarysWinApp.dll”。删除的“WinApp.dll”文件包含一个导出文件“fwdTst”。通过调用“rundll32.exe”proce3ss，导出将运行。与之前一样，RomCom RAT最终有效载荷从资源中提取并保存为“C:UsersPublicLibrarysrtmpak.dll”。

合法的“pdfFiller”应用程序使用相同的签名者“Blythe Consulting sp. z o.o.”。如上所述，该应用程序在最新的活动中被 RomCom RAT黑客滥用。

RomCom RAT投放器和最终的RAT都包括本地俄语和俄语变体:

目标

除了针对乌克兰军事机构的最新活动外，我们还发现RomCom黑客针对美国、巴西和菲律宾的IT公司、食品经纪人和食品制造。

结论

RomCom RAT黑客正在积极开发针对全球受害者的新技术。很有可能会有新的黑客活动。在发布时，没有明显的联系到任何被归因的黑客。

我们正在发布以前和最近针对乌克兰的活动的参考IOC。

IoC

采取的应对措施

import "pe" import "math"  rule targeted_RomComRat : RomCom deployed via trojanized legitimate apps {     meta:         description = "Rule detecting RomCom RAT used to attack Military Institutions from Ukraine"         author = " The BlackBerry Research & Intelligence team"         date = "2022-18-10"         license = "This Yara rule is provided under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0) and open to any user or organization, as long as you use it under this license and ensure originator credit in any derivative to the BlackBerry Research & Intelligence Team"         hash = "9f61259c966f34d89b70af92b430ae40dd5f1314ee6640d16e0b7b0f4f385738"        strings:         //comDll.dll         $x0 = {636f6d446c6c2e646c6c}         //combase32.dll         $x1 = {63006f006d006200610073006500330032002e0064006c006c00}               condition:     uint16(0) == 0x5a4d and     pe.number_of_sections == 7 and     pe.sections[0].name == ".text" and     math.entropy(pe.sections[0].raw_data_offset, pe.sections[0].raw_data_size) >= 6.5 and     pe.sections[1].name == ".rdata" and     math.entropy(pe.sections[1].raw_data_offset, pe.sections[1].raw_data_size) >= 5.2 and     pe.sections[2].name == ".data" and     pe.sections[3].name == ".pdata" and     math.entropy(pe.sections[3].raw_data_offset, pe.sections[3].raw_data_size) >= 5.5 and     pe.sections[4].name == "_RDATA" and     math.entropy(pe.sections[4].raw_data_offset, pe.sections[4].raw_data_size) >= 2.4 and     pe.sections[5].name == ".rsrc" and     math.entropy(pe.sections[5].raw_data_offset, pe.sections[5].raw_data_size) >= 2.85 and     pe.sections[6].name == ".reloc" and     math.entropy(pe.sections[6].raw_data_offset, pe.sections[6].raw_data_size) >= 5.3 and     pe.number_of_resources == 2 and     pe.exports("startFile") and     pe.exports("startInet") and     all of ($x*) }

本文由 Seebug Paper 发布，如需转载请注明来源。本文地址：https://paper.seebug.org/1999/