Недавно была обнаружена новая версия вредоносной программы SnipBot, которая является частью семейства вредоносной программы RomCom. Этот новый штамм представляет собой развитие предыдущих версий RomCom 3.0 и PEAPOD (RomCom 4.0) и использует новые трюки и методы обфускации кода. Исследователи компании Palo Alto Networks совместно с командой Sophos изучили эту угрозу и выявили несколько связанных штаммов, датируемых декабрем 2023 года.
SnipBot RAT
SnipBot дает злоумышленнику возможность выполнять команды и загружать дополнительные модули на компьютер жертвы. Угроза действует в несколько этапов, начиная с загрузчика, который может быть замаскирован под PDF-файл или представлять собой настоящий PDF-файл, который ведет к загрузке исполняемого файла SnipBot. Загрузчик всегда подписан действительным сертификатом подписи кода, в то время как последующие модули не подписаны.
Изучив данные телеметрии и проведя реверс-инжиниринг начального образца, исследователи смогли воссоздать цепочку заражения и идентифицировать начальный вектор заражения с использованием электронной почты. Злоумышленники используют электронные письма с ссылками, которые перенаправляют на программу-загрузчик SnipBot.
В целом, новый штамм RomCom, известный как SnipBot, представляет серьезную угрозу и использует различные методы для заражения систем жертв. Исследователи продолжают анализировать эту угрозу и предпринимать меры для обеспечения защиты клиентов от нее. Если пользователи подозревают, что они могли быть скомпрометированы, рекомендуется обратиться к команде по реагированию на инциденты.
Indicators of Compromise
IPv4
- 185.225.74.94
- 212.46.38.222
- 23.137.248.220
- 23.137.249.14
- 23.137.249.182
- 23.184.48.90
- 38.180.5.251
- 52.72.49.79
- 79.141.170.34
- 91.92.242.87
- 91.92.250.104
- 91.92.250.106
- 91.92.250.240
- 91.92.254.234
- 91.92.254.54
Domains
- 1drv.fileshare.direct
- adobe.cloudcreative.digital
- certifysop.com
- cethernet.com
- dns-msn.com
- docstorage.link
- drv2ms.com
- drvmcprotect.com
- fastshare.click
- ilogicflow.com
- linedrv.com
- mcprotect.cloud
- olminx.com
- publicshare.link
- sitepanel.top
- webtimeapi.com
- xeontime.com
SHA256
- 0be3116a3edc063283f3693591c388eec67801cdd140a90c4270679e01677501
- 1cb4ff70f69c988196052eaacf438b1d453bbfb08392e1db3df97c82ed35c154
- 2c327087b063e89c376fd84d48af7b855e686936765876da2433485d496cb3a4
- 5390ba094cf556f9d7bbb00f90c9ca9e04044847c3293d6e468cb0aaeb688129
- 57e59b156a3ff2a3333075baef684f49c63069d296b3b036ced9ed781fd42312
- 5b30a5b71ef795e07c91b7a43b3c1113894a82ddffc212a2fa71eebc078f5118
- 5c71601717bed14da74980ad554ad35d751691b2510653223c699e1f006195b8
- 60d96087c35dadca805b9f0ad1e53b414bcd3341d25d36e0190f1b2bbfd66315
- 92c8b63b2dd31cf3ac6512f0da60dabd0ce179023ab68b8838e7dc16ef7e363d
- a2f2e88a5e2a3d81f4b130a2f93fb60b3de34550a7332895a084099d99a3d436
- b9677c50b20a1ed951962edcb593cce5f1ed9c742bc7bff827a6fc420202b045
- cfb1e3cc05d575b86db6c85267a52d8f1e6785b106797319a72dd6d19b4dc317
- e5812860a92edca97a2a04a3151d1247c066ed29ae6bbcf327d713fbad7e79e8
- f74ebf0506dc3aebc9ba6ca1e7460d9d84543d7dadb5e9912b86b843e8a5b671
