Los actores de amenazas detrás de una familia de malware conocida como RomCom se dirigieron a una empresa de ingeniería civil con sede en EE. UU. a través de un cargador de JavaScript denominado SocGholish para entregar el Mythic Agent.
«Esta es la primera vez que se observa que SocGholish distribuye una carga útil de RomCom», dijo el investigador de Arctic Wolf Labs, Jacob Faires, en un informe del martes.
La actividad se ha atribuido con un nivel de confianza medio a alto a la Unidad 29155 de la Dirección Principal del Estado Mayor de las Fuerzas Armadas de la Federación Rusa, también conocida como GRU. Según la empresa de ciberseguridad, la entidad objetivo había trabajado en el pasado para una ciudad con estrechos vínculos con Ucrania.
SocGholish (también conocido como FakeUpdates), vinculado a un operador con motivación financiera rastreado como TA569 (también conocido como Gold Prelude, Mustard Tempest, Purple Vallhund y UNC1543), sirve como intermediario de acceso inicial, lo que permite a otros actores de amenazas lanzar una amplia gama de cargas útiles. Algunos de sus clientes conocidos son Evil Corp, LockBit, Dridex y Raspberry Robin.
Las cadenas de ataque generalmente implican enviar alertas falsas de actualización del navegador para Google Chrome o Mozilla Firefox en sitios web legítimos pero comprometidos para engañar a usuarios desprevenidos para que descarguen JavaScript malicioso que es responsable de instalar un cargador, que luego recupera malware adicional.
En su mayor parte, los ataques señalan sitios web que están mal protegidos, aprovechando vulnerabilidades de seguridad conocidas en complementos para inyectar código JavaScript diseñado para mostrar la ventana emergente y activar la cadena de infección.
RomCom (también conocido como Nebulous Mantis, Storm-0978, Tropical Scorpius, UNC2596 o Void Rabisu), por otro lado, es el nombre asignado a un actor de amenazas alineado con Rusia que es conocido por incursionar tanto en operaciones de cibercrimen como de espionaje desde al menos 2022.
El actor de amenazas aprovecha varios métodos, incluidos el phishing y los exploits de día cero, para violar las redes objetivo y colocar el troyano de acceso remoto (RAT) del mismo nombre en las máquinas de las víctimas. Los ataques organizados por el grupo de hackers han señalado a entidades en Ucrania, así como a organizaciones de defensa relacionadas con la OTAN.
En el ataque analizado por Arctic Wolf, la carga útil de actualización falsa permite a los actores de la amenaza ejecutar comandos en la máquina comprometida mediante un shell inverso establecido en un servidor de comando y control (C2). Esto incluye realizar reconocimientos y colocar una puerta trasera Python personalizada con nombre en código VIPERTUNNEL.
También se entrega un cargador de DLL vinculado a RomCom que lanza Mythic Agent, un componente crucial del marco de trabajo de equipo rojo post-exploit multiplataforma que se comunica con un servidor correspondiente para admitir la ejecución de comandos, operaciones de archivos y otros.
Si bien el ataque finalmente no tuvo éxito y fue bloqueado antes de que pudiera avanzar más, el desarrollo muestra el continuo interés del actor de amenazas RomCom en apuntar a Ucrania o entidades que brindan asistencia al país, sin importar cuán tenue pueda ser la conexión.
«El tiempo transcurrido desde la infección (la actualización falsa) hasta la entrega del cargador de RomCom fue de menos de 30 minutos», dijo Jacob Faires. «La entrega no se realiza hasta que se haya verificado que el dominio Active Directory del objetivo coincide con un valor conocido proporcionado por el actor de la amenaza».
«La naturaleza generalizada de los ataques SocGholish y la velocidad relativa a la que avanzan desde el acceso inicial hasta la infección los convierte en una potente amenaza para las organizaciones de todo el mundo».