Các tác nhân đe dọa đằng sau một họ phần mềm độc hại được biết đến với tên gọi RomCom đã nhắm mục tiêu vào một công ty kỹ thuật dân dụng của Hoa Kỳ thông qua một trình tải JavaScript có tên SocGholish để phát tán Mythic Agent.
"Đây là lần đầu tiên một RomCom payload được quan sát thấy đang được phân phối bởi SocGholish," nhà nghiên cứu Jacob Faires của Arctic Wolf Labs cho biết trong một báo cáo hôm thứ Ba.
Hoạt động này được cho là có độ tin cậy từ trung bình đến cao thuộc về Unit 29155 thuộc Cục Tình báo Chính (GRU) của Bộ Tổng Tham mưu Lực lượng Vũ trang Liên bang Nga. Theo công ty an ninh mạng, thực thể bị nhắm mục tiêu trước đây đã từng làm việc cho một thành phố có quan hệ mật thiết với Ukraine.
SocGholish (còn gọi là FakeUpdates), liên quan đến một tác nhân có động cơ tài chính được theo dõi dưới tên TA569 (còn gọi là Gold Prelude, Mustard Tempest, Purple Vallhund và UNC1543), đóng vai trò là nhà môi giới truy cập ban đầu, cho phép các tác nhân đe dọa khác phát tán nhiều loại payload. Một số khách hàng nổi tiếng của nó là Evil Corp, LockBit, Dridex và Raspberry Robin.
Các chuỗi tấn công thường liên quan đến việc hiển thị cảnh báo cập nhật trình duyệt giả mạo cho Google Chrome hoặc Mozilla Firefox trên các trang web hợp pháp nhưng đã bị xâm nhập để lừa người dùng không nghi ngờ tải xuống JavaScript độc hại chịu trách nhiệm cài đặt một trình tải, sau đó tìm nạp thêm phần mềm độc hại.
Phần lớn, các cuộc tấn công nhắm vào các trang web được bảo mật kém, tận dụng các lỗ hổng bảo mật đã biết trong các plugin để chèn mã JavaScript được thiết kế để hiển thị cửa sổ bật lên và kích hoạt chuỗi lây nhiễm.
RomCom (còn gọi là Nebulous Mantis, Storm-0978, Tropical Scorpius, UNC2596, hoặc Void Rabisu), mặt khác, là tên được gán cho một tác nhân đe dọa liên kết với Nga được biết đến là có liên quan đến cả hoạt động tội phạm mạng và gián điệp kể từ ít nhất năm 2022.
Tác nhân đe dọa này tận dụng một số phương pháp, bao gồm spear-phishing và các zero-day exploit, để xâm nhập mạng lưới mục tiêu và phát tán remote access trojan (RAT) cùng tên trên các máy nạn nhân. Các cuộc tấn công do nhóm hack này thực hiện đã nhắm vào các thực thể ở Ukraine, cũng như các tổ chức quốc phòng liên quan đến NATO.
Trong cuộc tấn công được Arctic Wolf phân tích, payload cập nhật giả mạo cho phép các tác nhân đe dọa chạy các lệnh trên máy bị xâm nhập thông qua một reverse shell được thiết lập với máy chủ command-and-control (C2). Điều này bao gồm việc thực hiện trinh sát và phát tán một backdoor Python tùy chỉnh có tên mã là VIPERTUNNEL.
Một DLL loader liên quan đến RomCom cũng được phát tán, khởi chạy Mythic Agent, một thành phần quan trọng của framework post-exploit, red teaming đa nền tảng, giao tiếp với máy chủ tương ứng để hỗ trợ thực thi lệnh, các hoạt động tệp và nhiều hoạt động khác.
Mặc dù cuộc tấn công cuối cùng không thành công và đã bị chặn trước khi có thể tiến triển xa hơn, nhưng sự phát triển này cho thấy RomCom threat actor tiếp tục quan tâm đến việc nhắm mục tiêu vào Ukraine hoặc các thực thể cung cấp hỗ trợ cho đất nước này, bất kể mối liên hệ có thể mong manh đến mức nào.
"Thời gian từ khi lây nhiễm qua [bản cập nhật giả mạo] đến khi phát tán loader của RomCom là dưới 30 phút," Jacob Faires cho biết. "Việc phát tán không được thực hiện cho đến khi miền Active Directory của mục tiêu được xác minh là khớp với một giá trị đã biết do threat actor cung cấp."
"Tính chất lan rộng của các cuộc tấn công SocGholish và tốc độ tương đối nhanh chóng mà cuộc tấn công tiến triển từ truy cập ban đầu đến lây nhiễm khiến nó trở thành một mối đe dọa mạnh mẽ đối với các tổ chức trên toàn thế giới."
