기술 지원
문서
로그인
문의하기
멀웨어를 합법적인 프로그램으로 위장하는 RomCom RAT 운영자
2022년 11월 16일 TuxCare 홍보팀
위협 행위자인 RomCom은 SolarWinds, KeePass 및 PDF Technologies의 브랜드 파워를 사용하여 일련의 새로운 공격 캠페인을 수행하고 있는 것으로 알려져 있습니다. 롬콤은 롬콤 RAT(원격 액세스 트로이 목마)를 사용하여 공격 벡터를 업데이트하고 있으며, 현재 유명 소프트웨어 브랜드를 통해 이를 배포하고 있습니다.
우크라이나 군사 시스템과 영국과 같은 영어권 국가로 이동하기 전, 이 위협 행위자는 고급 IP 스캐너 및 PDF 필러와 같은 인기 있는 앱을 위조하는 것으로 유명했습니다.
고급 IP 스캐너는 파일 이름에 문자 "V"를 첨부하여 위조되었습니다. 가짜 소프트웨어의 압축을 풀면 4개의 악성 드로퍼가 포함된 27개의 파일이 함께 제공됩니다. 또한, 다음 단계의 다운로더를 드롭하는 가짜 웹사이트로 연결되는 링크가 포함된 이메일을 우크라이나 군에 보냈습니다. 이 유인물은 "Order 309.pdf"라는 위조된 파일입니다.
RomCom은 공급업체에서 정품 HTML 코드를 제거하여 위조하는 것으로 유명합니다. 그런 다음 합법적인 도메인과 유사하지만 트로이 목마에 감염된 악성 도메인을 등록하고 가짜 웹사이트에 사기성 번들을 업로드한 다음 피해자에게 피싱 이메일을 보내거나 추가 감염 경로를 사용하여 공격하나요?
RomCom RAT의 첫 번째 버전은 위조 된 소프트웨어 Advanced IP Scanner에 포함되었으며 두 가지 버전이 있습니다: "고급 IP 스캐너 V2.5.4594.1.zip"과 "advancedipscanner.msi".
또한, 합법적인 등록 양식을 제출하고 동시에 가짜 SolarWinds 웹 사이트에서 무료 평가판을 다운로드하여 트로이 목마 버전의 SolarWinds 네트워크 성능 모니터링(NPM) 애플리케이션을 사용하여 공격을 시작합니다. 양식을 작성한 후, 정품 SolarWinds 영업 담당자가 피해자에게 연락하여 제품 평가판을 추적할 수 있으며, 피해자는 최근에 설치된 애플리케이션이 정품이라고 믿게 됩니다. 대신 피해자는 악성 RomCom 원격 액세스 트로이 목마 드로퍼(RAT)를 다운로드합니다.
공격자는 감염된 앱에 악성 DLL을 삽입하여 "C:UsersuserAppDataLocalTempwinver.dll" 위치에서 RomCom RAT 인스턴스를 다운로드하고 실행합니다.
위협 행위자들은 또한 KeePass RomCom 캠페인을 사용하여 RomCom RAT 드로퍼("hlpr.dat")와 드로퍼를 실행하는 데 사용되는 setup.exe가 포함된 "KeePass-2.52.zip"이라는 아카이브를 배포한 것으로 알려져 있습니다.
이 글의 출처는 BleepingComputer의 기사입니다.
