SnipBot: Nova RomCom varijanta

Nova varijanta RomCom zlonamjernog softvera nazvana SnipBot identifikovana od strane Unit 42, je sofisticirana varijanta zlonamjernog softvera koja je proširila mogućnosti svog prethodnika. Nudi prošireni skup od 27 komandi kako bi operateru pružio detaljniju kontrolu nad operacijama eksfiltracije podataka. Ovo uključuje ciljanje određenih tipova datoteka ili direktorijuma, kompresovanje ukradenih podataka pomoću alatke za arhiviranje datoteka i uvođenje korisnog opterećenja arhive u svrhu izbjegavanja.

SnipBot: Nova RomCom varijanta; Source: Bing Image Creator

SNIPBOT ZLONAMJERNI SOFTVER

Najranija verzija SnipBot zlonamjernog softvera, otkrivena u decembru 2023. godine, prvobitno je distribuirana putem PDF datoteke. Nakon otvaranja datoteke, žrtve su namamljene da preuzmu paket fontova koji nedostaje, što je dovelo do instaliranja i izvršenja zlonamjernog softvera. Ova rana iteracija koristila je tehnike zamagljivanja kontrolnog toka zasnovane na prozorima za poboljšanu prikrivenost.

RomCom 4.0 verzija SnipBot zlonamjernog softvera pokazala je prošireni skup mogućnosti, uključujući izvršavanje komandi, krađu datoteka, izbacivanje korisnog opterećenja, modifikaciju Windows registra i bezbjedno korištenje TLS protokola za C2 komunikacije. Ova verzija je postavila temelje za naprednije iteracije koje dolaze.

Nova varijanta

Nova varijanta SnipBot zlonamjernog softvera, koju Unit 42 smatra kao RomCom 5.0, uvela je prošireni skup od 27 komandi, dajući operaterima veću kontrolu nad operacijama eksfiltracije podataka. Ova poboljšanja su omogućila odabir ciljanih tipova datoteka ili direktorijuma, kompresovanje pomoću alata 7-Zip, pa čak i uvođenje korisnog opterećenja arhive u svrhu izbjegavanja.

Jedan od najintrigantnijih aspekata SnipBot zlonamjernog softvera je njegova aktivnost nakon infekcije na sistemu žrtve. Za razliku od drugih zlonamjernih softvera, on se ne ograničava na finansijsku dobit, već proširuje svoje ciljeve na špijunske operacije.

Rad SnipBot zlonamjernog softvera počinje neobičnim DLL modulom, koji je dio šireg skupa alata koji se zove SnipBot. Jednom u sistemu, krade određene tipove datoteka iz direktorijuma Documents, Downloads i OneDrive. Nakon toga, koristi uslužni program AD Explorer za navigaciju i upravljanje bazom podataka Active Directory (AD). Tu je i korištenje tehnike stapanja sa okolinom (eng. Living off the Land – LotL).

Ciljani podaci se zatim eksfiltriraju pomoću klijenta PuTTY Secure Copy nakon što se arhiviraju pomoću WinRAR aplikacije. Ovaj metod obezbjeđuje da ukradeni podaci ostanu bezbjedni tokom prenosa. Međutim, krajnji cilj zlonamjernog aktera ostaje nejasan zbog raznolikog skupa žrtava na meti SnipBot zlonamjernog softvera.

Jedinstvene metode zamagljivanja kôda koje koristi SnipBot izdvajaju ga od prethodnih verzija RomCom 3.0 i PEAPOD (RomCom 4.0). Ove tehnike zamagljivanja uključuju upotrebu prikrivanja toka kontrole zasnovanog na prozoru, što dodaje dodatni sloj složenosti naporima obrnutog inženjeringa.

SnipBot je takođe razvio nove tehnike zaštite od izolovanog okruženja (eng. sandboxing) kako bi izbjegao otkrivanje. Ovo uključuje heš provjere izvršnih i kreiranih procesa, kao i provjeru postojanja najmanje 100 unosa u kategoriji “RecentDocs” i 50 podključeva u “Shell Bags” ključevima sistemskih registra.

C2 serveri i domene

Komandni i kontrolni (C2) serveri za SnipBot se nalaze na olmink[.]com, cethernet[.]com, sitepanel[.]top i drv2ms[.]com. Ovi domeni služe kao primarni komunikacioni kanali između zaraženih sistema i zlonamjernih aktera koji kontrolišu SnipBot.

Domen certifisop[.]com izgleda da je pogrešna konfiguracija ili mamac za SnipBot C2 infrastrukturu. Ovo zapažanje se može izvesti upoređivanjem njegove IP adrese, sa drugim poznatim domenima povezanim sa SnipBot zlonamjernim softverom. Neslaganje između ovog domena i drugih sugeriše da može poslužiti kao smetnja ili mamac da zbuni istraživače i bezbjednosne analitičare.

Još jedno zanimljivo zapažanje je upotreba poddomena za neke od ovih domena, kao što je cloud[.]cethernet[.]com i cloud[.]sitepanel[.]top. Ovi poddomeni bi potencijalno mogli da se koriste za dodatne funkcionalnosti ili usluge vezane za SnipBot operacije. Na primjer, poddomen cethernet[.]com može da obezbijedi platformu za skladištenje komponenti zlonamjernog softvera ili eksfiltriranih podataka iz zaraženih sistema.

Domen linedrv[.]com nije direktno povezan sa SnipBot zlonamjernim softverom, ali djeli IP adresu sa jednim od poznatih C2 servera, cloud[.]cethernet[.]com. Ova zajednička infrastruktura može ukazivati na vezu između ova dva entiteta ili sugerisati da se linedrv[.]com koristi u pomoćne svrhe kao podrška operacijama SnipBot zlonamjernog softvera.

Ispitujući geografske lokacije IP adresa ovih domena, može se primijetiti da se svi aktivni C2 serveri za SnipBot nalaze u Rusiji. Ovo sugeriše da se operater koji stoji iza ovog zlonamjernog softvera možda nalazi u Rusiji ili ima jake veze sa Rusijom. Pored toga, analizom domena povezanih sa ovim IP adresama, čini se da neki domeni služe kao primarni C2 serveri, dok drugi djeluju kao rezervni ili alternativni C2 serveri.

Domeni povezani sa SnipBot zlonamjernim softverom pružaju dragocjene uvide u njegovu infrastrukturu i potencijalne mogućnosti. Upotreba poddomena, zajedničkih IP adresa i mogućih mamaca ili pogrešnih konfiguracija naglašavaju potrebu za kontinuiranom budnošću i prilagodljivošću u naporima sajber bezbjednosti.

ZAKLJUČAK

SnipBot zlonamjerni softver predstavlja značajan korak napred u evoluciji sajber prijetnji. Njegova sofisticirana sekvenca napada, obiman skup komandi, upotreba naprednih alata za eksfiltraciju podataka i tehnike zaštite od analize u izolovanom okruženju čine ga izuzetno moćnim oružjem u rukama zlonamjernih aktera.

Jedinstvene karakteristike, korištenje tehnike stapanja sa okolinom (LotL) i potencijalni prelazak sa finansijskih motiva na špijunažu, kao i domeni povezani sa SnipBot zlonamjernim softverom koji pružaju dragocjene uvide u njegovu infrastrukturu i potencijalne mogućnosti. Upotreba poddomena, zajedničkih IP adresa i mogućih mamaca ili pogrešnih konfiguracija samo naglašavaju potrebu za kontinuiranom budnošću i prilagodljivošću u naporima u sajber bezbjednosti.

Evolucija RomCom zlonamjernog softvera od PEAPOD verzije do SnipBot verzije naglašava dinamičnu prirodu sajber prijetnji i potrebu za razumijevanjem karakteristika ovih porodica zlonamjernog softvera i njihovih povezanih domena. Samo kroz razumijevanje korisnici i organizacije mogu da razviju efikasnije protivmjere protiv ovih prijetnji i da održe čvrste položaje sajber bezbjednosti u okruženju koje se stalno mijenja.

ZAŠTITA

Suočeni sa rastućom prijetnjom koju predstavlja SnipBot zlonamjerni softver, sofisticirana varijanta zlonamjernog softvera RomCom 5.0, za organizacije i pojedince je od ključnog značaja da ojačaju svoju odbranu. Evo nekoliko preporuka koje mogu pomoći u ublažavanju rizika povezanih sa ovom prijetnjom:

1. Potrebno je staviti naglasak na obuku zaposlenih, jer ljudska greška ostaje jedna od najznačajnijih ranjivosti u bezbjednosnom položaju bilo koje organizacije. Održavanje redovnih kako bi se zaposleni edukovali o phishing napadima, taktikama socijalnog inženjeringa i bezbjednoj internet praksi je veoma značajno, jer će im pomoći da identifikuju potencijalne prijetnje pre nego što nanesu štetu,
2. Implementacija softver za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) je od suštinskog značaja za otkrivanje i reagovanje na napredni zlonamjerni softver kao što je SnipBot. Ova rješenja nadgledaju krajnje uređaje u realnom vremenu, obezbeđujući vidljivost aktivnosti datoteka, ponašanja procesa, mrežnih veza i izmjena sistemskih registra. Ovo može pomoći organizacijama da brzo identifikuju i reaguju na sve sumnjive aktivnosti,
3. Segmentacija mreže je kritična strategija za ograničavanje širenja zlonamjernog softvera unutar infrastrukture organizacije. Podjelom mreže na manje segmente, može se smanjiti potencijalna šteta uzrokovana ugrožavanjem i olakšati obuzdavanje prijetnji,
4. Primijeniti listu dozvoljenih aplikacija da bi se kontrolisalo koji softver je dozvoljen da se pokreće na korisničkim sistemima. Ovo može pomoći da se spriječi izvršavanje neovlaštenih programa kao što je SnipBot, jer nisu uključeni u odobrenu listu aplikacija,
5. Uvjeriti se da su svi sistemi i aplikacije u organizaciji ažurirani sa najnovijim ispravkama. Ovo će pomoći u zaštiti od poznatih ranjivosti koje bi mogao da iskoristi zlonamjerni softver kao što je SnipBot,
6. Investirati u robusna rješenja protiv zlonamjernog softvera koja mogu da otkriju, spriječe i uklone napredne prijetnje kao što je SnipBot. Ova rješenja bi trebalo da budu konfigurisana da automatski ažuriraju svoje definicije prijetnji u redovnim intervalima kako bi bila ispred najnovijih varijanti zlonamjernog softvera,
7. Razvijati Plan odgovora na sajber prijetnju koji opisuje jasne korake za reagovanje na sumnjivo ugrožavanje ili napad, uključujući identifikaciju i izolovanje pogođenih sistema, koji sadrže prijetnju, iskorjenjivanje zlonamjernog softvera, vraćanje svih izgubljenih podataka i obavještavanje nadležnih organa ako je potrebno,
8. Redovno pravljenje rezervnih kopija kritičnih podataka je od suštinskog značaja za obezbjeđivanje kontinuiteta poslovanja u slučaju ugrožavanja ili ransomware napada. U slučaju SnipBot zlonamjernog softvera, za koji se čini da se fokusira na špijunažu, a ne na finansijsku dobit, nedavne rezervne kopije mogu pomoći da se smanji uticaj bilo kakve krađe podataka,
9. Implementirati autentifikaciju u više koraka (eng. Multi-Factor Authentication – MFA) za sve kritične sisteme i aplikacije u organizaciji. Ovo dodaje još jedna sloj bezbjednosti zahtjevajući od korisnika da obezbijede dva ili više oblika autentifikacije pre pristupa osjetljivim resursima,

Primjenom ovih preporuka, organizacije mogu značajno da smanje rizik da postanu žrtve naprednog zlonamjernog softvera kao što je SnipBot. Važno je zapamtiti da je sajber bezbjednost stalan proces koji zahteva stalnu budnost i prilagođavanje suočen sa prijetnjama koje se razvijaju.