Unit 42 揭示了臭名昭著的 RomCom 恶意软件家族的新变体,称为“SnipBot”。这种复杂的恶意软件于 2024 年初首次被发现,旨在渗透企业网络、执行远程命令和下载其他恶意负载。SnipBot 代表了 RomCom 的最新版本,结合了新颖的代码混淆技术和先进的反检测策略。据信,这是针对 IT 服务、法人实体和农业等行业的更广泛活动的一部分。
2024 年 4 月,Unit 42 检测到一个不寻常的 DLL 模块,该模块后来被确定为 SnipBot 恶意软件工具包的一部分。研究人员重建了感染链和感染后活动。SnipBot 会经历几个阶段,最初的感染通常通过包含伪装可执行文件的网络钓鱼电子邮件传递,该文件通常伪装成合法的 PDF。
SnipBot 利用被盗或欺诈性的代码签名证书,确保初始有效负载看起来合法。但是,后续模块仍未签名,这使得检测更具挑战性。该恶意软件还采用了多种反沙盒技术,例如进程名称验证和注册表项检查,使分析进一步复杂化。
一旦进入受害者的系统,SnipBot 就会授予攻击者广泛的控制权,使他们能够执行命令、收集系统信息和泄露数据。该恶意软件还可以下载其他恶意负载,包括 SnippingTool.dll 和 svcnet.exe 等模块,这些模块为攻击者提供了更多功能。
Unit 42 观察到的关键感染后活动之一涉及攻击者试图从受害者的网络收集数据,包括域控制器信息。泄露过程是使用 PuTTY 和 WinRAR 等合法工具启动的,这些工具被重新用于 fsutil.exe 和 dsutil.exe 等虚假名称的恶意活动。
虽然 RomCom 历来与勒索软件和勒索活动有关,但 SnipBot 的行为表明正在转向情报收集和间谍活动。目标行业、有效载荷的选择以及攻击者在感染后谨慎的行动意味着他们专注于数据泄露,而不是直接的经济利益。