RomCom tấn công cập nhật giả mạo SocGholish để phát tán mã độc Mythic Agent

[Starlink]

Những kẻ đe dọa đứng sau nhóm phần mềm độc hại có tên RomCom đã nhắm mục tiêu vào một công ty kỹ thuật dân dụng có trụ sở tại Hoa Kỳ thông qua trình tải JavaScript có tên là SocGholish để phát tán Mythic Agent.

Nhà nghiên cứu Jacob Faires của Arctic Wolf Labs cho biết trong báo cáo hôm thứ Ba: "Đây là lần đầu tiên một phần mềm RomCom được phát hiện do SocGholish phân phối".

Hoạt động này được cho là do Đơn vị 29155 thuộc Tổng cục Chính trị, Bộ Tổng tham mưu Lực lượng Vũ trang Liên bang Nga (GRU) thực hiện với mức độ tin cậy từ trung bình đến cao. Theo công ty an ninh mạng, đơn vị bị nhắm mục tiêu này trước đây từng làm việc cho một thành phố có quan hệ mật thiết với Ukraine.

SocGholish (hay còn gọi là FakeUpdates), liên kết với một nhà điều hành có động cơ tài chính được theo dõi là TA569 (hay còn gọi là Gold Prelude, Mustard Tempest, Purple Vallhund và UNC1543), hoạt động như một môi giới truy cập ban đầu, cho phép các tác nhân đe dọa khác thả một loạt các phần mềm độc hại. Một số khách hàng được biết đến của nó là Evil Corp, LockBit, Dridex và Raspberry Robin.

Chuỗi tấn công thường bao gồm việc đưa ra cảnh báo cập nhật trình duyệt giả mạo cho Google Chrome hoặc Mozilla Firefox trên các trang web hợp pháp nhưng bị xâm phạm để lừa người dùng không nghi ngờ tải xuống JavaScript độc hại chịu trách nhiệm cài đặt trình tải, sau đó tải thêm phần mềm độc hại.

Phần lớn các cuộc tấn công nhắm vào các trang web được bảo mật kém, lợi dụng các lỗ hổng bảo mật đã biết trong các plugin để chèn mã JavaScript được thiết kế để hiển thị cửa sổ bật lên và kích hoạt chuỗi lây nhiễm.

Mặt khác, RomCom (hay còn gọi là Nebulous Mantis, Storm-0978, Tropical Scorpius, UNC2596 hoặc Void Rabisu) là tên gọi được đặt cho một tác nhân đe dọa liên kết với Nga, được biết đến là đã tham gia vào cả hoạt động tội phạm mạng và gián điệp kể từ ít nhất năm 2022.

Nhóm tin tặc này sử dụng nhiều phương pháp, bao gồm tấn công lừa đảo trực tuyến (spear-phishing) và khai thác lỗ hổng zero-day, để xâm nhập mạng mục tiêu và cài trojan truy cập từ xa (RAT) vào máy nạn nhân. Các cuộc tấn công do nhóm tin tặc này thực hiện đã nhắm vào các thực thể ở Ukraine, cũng như các tổ chức quốc phòng liên quan đến NATO.

Trong cuộc tấn công được Arctic Wolf phân tích, tải trọng cập nhật giả mạo cho phép kẻ tấn công chạy lệnh trên máy tính bị xâm nhập thông qua một shell ngược được thiết lập đến máy chủ chỉ huy và kiểm soát (C2). Điều này bao gồm việc thực hiện trinh sát và cài đặt một backdoor Python tùy chỉnh có tên mã là VIPERTUNNEL.

Ngoài ra còn có trình tải DLL liên kết với RomCom khởi chạy Mythic Agent, một thành phần quan trọng của nền tảng đa nền tảng, hậu khai thác, khung làm việc nhóm đỏ giao tiếp với máy chủ tương ứng để hỗ trợ thực thi lệnh, thao tác tệp và các thao tác khác.

Mặc dù cuộc tấn công cuối cùng không thành công và bị chặn trước khi có thể tiến triển thêm, diễn biến này cho thấy mối đe dọa RomCom vẫn tiếp tục quan tâm đến việc nhắm mục tiêu vào Ukraine hoặc các thực thể cung cấp hỗ trợ cho quốc gia này, bất kể mối liên hệ đó có mong manh đến đâu.

"Thời gian từ khi bị lây nhiễm thông qua [bản cập nhật giả] đến khi trình tải RomCom được phân phối chưa đầy 30 phút", Jacob Faires nói. "Việc phân phối sẽ không được thực hiện cho đến khi miền Active Directory của mục tiêu được xác minh là khớp với giá trị đã biết do tác nhân đe dọa cung cấp."

"Bản chất lan rộng của các cuộc tấn công SocGholish và tốc độ tương đối mà cuộc tấn công diễn ra từ khi tiếp cận ban đầu đến khi lây nhiễm khiến nó trở thành mối đe dọa mạnh mẽ đối với các tổ chức trên toàn thế giới."