Os atores por trás da família de malware conhecida como RomCom atacaram uma empresa americana de engenharia civil por meio de um loader em JavaScript chamado SocGholish, com o objetivo de instalar o Mythic Agent.
“Esta é a primeira vez que uma payload do RomCom é distribuída via SocGholish”, afirmou Jacob Faires, pesquisador do Arctic Wolf Labs, em relatório divulgado na última terça-feira, 16 de junho de 2024.
A atividade foi atribuída, com confiabilidade média a alta, à Unidade 29155 da Direção Principal do Estado-Maior das Forças Armadas da Federação Russa, conhecida como GRU.
Segundo a empresa de cibersegurança, a organização atacada já havia trabalhado para uma cidade com fortes vínculos com a Ucrânia.
Conhecido também como FakeUpdates, o SocGholish está ligado a um operador motivado financeiramente identificado como TA569 (também referido como Gold Prelude, Mustard Tempest, Purple Vallhund e UNC1543).
Ele atua como um broker de acesso inicial, permitindo que diversos atores maliciosos implantem diferentes tipos de payloads.
Entre seus clientes conhecidos estão Evil Corp, LockBit, Dridex e Raspberry Robin.
O ataque geralmente começa com alertas falsos de atualização do navegador — normalmente Google Chrome ou Mozilla Firefox — exibidos em sites legítimos, porém comprometidos, para enganar usuários desprevenidos.
Esses alertas levam à instalação de um código malicioso em JavaScript, que por sua vez instala um loader capaz de baixar malware adicional.
Essas campanhas exploram principalmente sites com baixa segurança, aproveitando vulnerabilidades conhecidas em plugins para injetar o código JavaScript que exibe o pop-up e inicia a cadeia de infecção.
Por sua vez, o RomCom (também identificado como Nebulous Mantis, Storm-0978, Tropical Scorpius, UNC2596 ou Void Rabisu) é um ator alinhado à Rússia que atua em operações de cibercrime e espionagem desde pelo menos 2022.
O grupo utiliza diversos métodos, como spear-phishing e exploits zero-day, para invadir redes-alvo e implantar o trojan de acesso remoto (RAT) que leva seu nome.
Seus ataques já se concentraram em alvos na Ucrânia, bem como em organizações de defesa vinculadas à OTAN.
No caso analisado pelo Arctic Wolf, o payload falso de atualização permite que os invasores executem comandos na máquina comprometida por meio de uma reverse shell estabelecida com um servidor de comando e controle (C2).
Isso inclui atividades de reconhecimento e a implantação de um backdoor personalizado em Python, chamado VIPERTUNNEL.
Também foi entregue um loader em DLL associado ao RomCom, que ativa o Mythic Agent.
Essa ferramenta é uma peça fundamental de um framework multiplataforma de red teaming pós-exploit, que se comunica com um servidor para suportar a execução de comandos, manipulação de arquivos e outras operações.
Embora o ataque tenha sido bloqueado antes de evoluir, o caso demonstra o interesse contínuo do grupo RomCom em atingir alvos ligados à Ucrânia ou que prestam algum tipo de apoio ao país, mesmo que a conexão seja limitada.
“O tempo entre a infecção pelo falso update e a entrega do loader do RomCom foi inferior a 30 minutos”, destacou Jacob Faires.
“A entrega só ocorre após a confirmação de que o domínio do Active Directory da vítima corresponde a um valor conhecido pelo ator.”
“A abrangência dos ataques SocGholish e a velocidade com que a infecção avança desde o acesso inicial fazem dele uma ameaça poderosa para organizações em todo o mundo.”
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...