A Blackberry egy olyan káros kódterjesztő kampányra hívja fel a figyelmet, aminek során fenyegetési szereplők többek között a SolarWinds Network Performance Monitor (NPM), a KeePass jelszószéf, a PDF Reader Pro, valamint a Veem mentéskezelő szoftverek káros változatait terjesztik.
A támadók nagy gondot fordítottak arra, hogy a káros programok letöltési oldalai arculatilag megegyezzenek az eredeti weboldalakkal és a webcímük (domain nevük) is nagyon hasonló legyen. Az egyik megszemélyesített szoftver a sokak által alkalmazott, ingyenes KeePass jelszókezelő.
A letöltött tömörített állomány (ZIP) több fájlt is tartalmaz, köztük a ”hlpr.dat” fájlt, ami a tényleges káros program, a RomCom RAT droppere, amit a „setup.exe” fájl futtatása után települ az áldozat eszközére.
Kiemelésre érdemes, hogy a támadók a Solarwinds Network Performance Monitoring (NPM) esetében egy további megtévesztő lépést is alkalmaznak: a káros verzió letöltésekor egy hivatalos SolarWinds regisztrációs űrlapot jelenít meg, amit ha az áldozat kitölt, az a SolarWinds cég valódi SALES osztályára küld üzenetet.
Minekután az NPM ingyenesen kipróbálható, teljesen életszerű, hogy az űrlap kitöltése nyomán egy értékesítő felvegye a kapcsolatot az áldozattal, elterelve a gyanút arról, hogy valójában egy káros verzió került letöltésre.
Kiket és hogyan céloz a kampány?
A Blackberry szerint a támadók többféle technikával juttatják el a káros letöltőoldalak linkjeit az áldozatoknak. Egyrészről adathalász üzenetekkel, azonban internetes keresi találatok manipulálásával (SEO poisoning), valamint fórum és közösségi média posztokkal is terjeszthetik.
Az eddig azonosított esetek alapján a kampánynak főképp ukrán célpontjai voltak, azonban egyes SSL tanúsítványok alapján angol nyelvterületű országok is célpontok lehetnek.
RomCom RAT fertőzésre utaló indikátorok (IoC-k):
Filename
MD5 SHA256 |
Solarwinds-Orion-NPM-Eval.zip
7C003B4F8B3C0AB0C3F8CB933E93D301 246DFE16A9248D7FB90993F6F28B0EBE87964FFD2DCDB13105096CDE025CA614 |
Filename
MD5 SHA256 |
KeePass-2.52.zip
1a21a1e626fd342e794bcc3b06981d2c 596eaef93bdcd00a3aedaf6ad6d46db4429eeba61219b7e01b1781ebbf6e321b |
Filename
MD5 SHA256 |
Solarwinds-Orion-NPM-Eval.exe
D1A84706767BFB802632A262912E95A8 9D3B268416D3FAB4322CC916D32E0B2E8FA0DE370ACD686873D1522306124FD2 |
Type
MD5 SHA256
MD5 SHA256 |
RomCom RAT Dropper
CB933F1C913144A8CA6CFCFD913D6D28 AC09CBFEE4CF89D7B7A755C387E473249684F18AA699EB651D119D19E25BFF34
8284421bbb94f3c37f94899cdcd19afd 8b8dff5d30802fd79b76ee1531e7d050184a07570201ef1cd83a7bb8fa627cb0 |
Type
MD5 SHA256
MD5 SHA256 |
RomCom RAT Launcher (Setup.exe)
6310A2063687800559AE9D65CFF21B0A F7013CE417FCBA0F36C4B9BF5F8F6E0E2B14D6ED33FF4D384C892773508E932E
550f42c5b555893d171285dc8b15b4b5 5f187393acdeb67e76126353c74b6080d3e6ccf28ae580658c670d8b6e4aacc1 |
Type
MD5 SHA256
MD5 SHA256 |
RomCom RAT Payload
4E4ECA58B896BDB6DB260F21EDC7760A ABE9635ADBFEE2D2FBAEA140625C49ABE3BAA29C44FB53A65A9CDA02121583EE
a7172aef66bb12e1bb40a557bb41e607 3252965013ec861567510d54a97446610edba5da88648466de6b3145266386d9 |