Ausnutzung von Schwachstellen
Void Rabisu mit verschlankter Backdoor
Die jüngste Kampagne der Malware Void Rabisu zielte auf den Women Political Leaders (WPL) Summit im Juni und deutet darauf hin, dass die Hintermänner ihren Fokus auf hochrangige Spionage verlegt haben. Unsere Analyse zeigt, wie das funktioniert.
Save to Folio
Void Rabisu ist ein Intrusion Set, das sowohl mit finanziell motivierten Ransomware-Angriffen als auch mit gezielten Kampagnen gegen die Ukraine und Länder, die die Ukraine unterstützen, in Verbindung gebracht wird. Zu den bisherigen Zielen des Bedrohungsakteurs gehörten die ukrainische Regierung und das Militär, der Energie- und Wasserversorgungssektor, EU-Politiker, Sprecher einer bestimmten EU-Regierung und Teilnehmer von Sicherheitskonferenzen. In Kampagnen von Ende Juni und Anfang August 2023 zielte Void Rabisu auf Militärpersonal der EU und führende Politiker, die an Initiativen zur Gleichstellung der Geschlechter arbeiten. Zu den auffälligen Werkzeugen, die Void Rabisu verwendet, gehört die offenbar exklusiv eingesetzte ROMCOM-Backdoor, die im Laufe der Zeit mehrfach erweitert wurde.
Die Malware ist eines der deutlichsten Beispiele für eine Mischung aus typischen Taktiken, Techniken und Verfahren (TTPs), die von cyberkriminellen Bedrohungsakteuren und von staatlich geförderten Akteuren, die in erster Linie Spionageziele verfolgen, eingesetzt werden. Der Schädling hat beispielsweise Malware mit Zertifikaten signiert, die höchstwahrscheinlich von einem dritten Service Provider erworben wurden, den auch andere cyberkriminelle Gruppen nutzen. Der Bedrohungsakteur setzte auch bösartige Werbung auf Google und Bing ein, um Suchmaschinen-Traffic zu seinen Köder-Seiten zu generieren, die bösartige Kopien von Admin-Software enthalten.
Void Rabisu agiert auch wie ein Advanced Persistent Threat (APT)-Akteur, wenn er Regierungen und Militär ins Visier nimmt. Im Juni 2023 nutzte er die Schwachstelle CVE-2023-36884 aus – damals noch ein Zero-Day. Es ging um Kampagnen mit dem ukrainischen World Congress und später dem NATO-Gipfeltreffen als Köder. Die außergewöhnlichen geopolitischen Umstände rund um den Krieg in der Ukraine treiben einige der finanziell orientierten Bedrohungsakteure (einschließlich Void Rabisu) zu spionagemotivierten Kampagnen.
Die Telemetriedaten von Trend Micro bestätigen zudem, dass besagte Kampagne (mit Missbrauch von CVE-2023-36884) auf das Militär, Regierungspersonal und Politiker in Europa abzielte. Die von der Malware in diesem Fall verbreitete Payload unterschied sich von der bereits analysierten ROMCOM-Backdoor, aber die beiden haben deutliche Ähnlichkeiten. Dies deutet darauf hin, dass die Bedrohungsakteure aktiv an der Entwicklung der Backdoor arbeiten.
Die nächste Iteration der Malware gab es Anfang August, als Void Rabisu eine bösartige Kopie der offiziellen Website des Women Political Leaders (WPL) Summit (im Juni in Brüssel) erstellte. Die endgültige Payload war eine neue Version der ROMCOM-Backdoor, ROMCOM 4.0 (auch bekannt als PEAPOD).
Das weltweite Gipfeltreffen kümmert sich um Frieden und Sicherheit, Krieg und Unterdrückung, Desinformation, den Krieg in der Ukraine, die Rolle der Frau in der Politik und die Gleichstellung der Geschlechter. Da viele derzeitige und künftige politische Führer an dieser Konferenz teilnahmen, stellte sie ein interessantes Ziel für Spionagekampagnen dar und diente Bedrohungsakteuren als möglicher Weg, um sich Zugang zu politischen Organisationen zu verschaffen. Unsere Telemetrie lieferte konkrete Beweise dafür, dass die Kampagne auf Ziele ausgerichtet war, die sich für die Gleichstellung der Geschlechter in der EU-Politik einsetzen.
Bei einigen seiner jüngsten Kampagnen setzte der Hintermann eine neue Technik ein. Es geht um eine TLS durchsetzende Technik der ROMCOM Command-and-Control (C&C)-Server zur Erschwerung der automatischen Entdeckung der ROMCOM Infrastruktur. Wir fanden die Technik in einer Kampagne vom Mai, die eine bösartige Kopie der legitimen PaperCut-Software verbreitete, wobei der C&C-Server Anfragen ignorierte, die nicht konform waren.
Die Fake-Seite des WPL Summit 2023
Im August setzte der Void Rabisu-Hintermann eine Website namens wplsummit[.]com auf, um Besucher der legitimen wplsummit.org-Domäne anzuziehen. Die Fake Website sieht genauso aus wie die echte.
Während der „Videos & Photos“-Link der wahren Domain Besucher zu einem Google Drive-Ordner leitet, der Fotos von der Veranstaltung beinhaltet, leitet die wplsummit[.]com Fake Website sie zu einem OneDrive-Ordner, der zwei komprimierte Dateien und eine ausführbare namens Unpublished Pictures 1-20230802T122531-002-sfx.exe birgt. Letztere Datei scheint eine Malware zu sein. Deren Analyse und auch den technischen Ablauf eines Angriffs finden Sie im Originalbeitrag.
Das heruntergeladene Executable ist von einem Unternehmen namens Elbor LLC (wurde bereits früher für die Signatur mehrere bösartiger Dateien verwendet) mit einem gültigen Zertifikat signiert. Die Datei gibt vor, ein selbstextrahierendes Archiv zu sein und extrahiert 56 Bilder aus dem Ressource-Bereich, wenn ein Nutzer den entsprechenden Button anklickt.
C&C-Serverkommunikation
Die von uns analysierten PEAPOD-Samples zwingen WinHTTP-Funktionen zur Verwendung von TLS 1.2 anstelle der vom Betriebssystem gewählten Standardversion. Ein C&C-Server für eine frühere Kampagne, die die legitime PaperCut-Software als Köder verwendete, überprüfte die TLS-Version einer Client-HTTP-Anfrage und reagierte nicht mit einem Payload, wenn die Anfrage nicht konform war. Der C&C-Server für die Kampagne, die auf die Teilnehmer des WPL Summit 2023 abzielte, reagierte jedoch wie erwartet, unabhängig von der TLS-Versionsaushandlung, die zur Einleitung der Kommunikation verwendet wurde.
Wir glauben, dass PEAPOD keine Systeme mit Windows 7 oder früheren Versionen infizieren kann. Der Originalbeitrag enthält auch einen Vergleich zwischen ROMCOM3 und PEAPOD, denn es zeigt sich, dass Void Rabisu eine Zeit lang auf die Bereitstellung von PEAPOD setzte statt ROMCOM3.
Fazit
Fast ein Jahr, nachdem Void Rabisu seine Ziele von opportunistischen Ransomware-Angriffen auf Cyberspionage verlagerte, entwickelt der Bedrohungsakteur immer noch seine Haupt-Malware, die ROMCOM-Backdoor, weiter. Da die Backdoor auf ihren Kern reduziert ist und zusätzliche Komponenten nach Bedarf heruntergeladen werden, hat der Angreifer die Möglichkeit, zusätzliche Komponenten für spezifische Ziele nachzuladen. Dies hat den Vorteil, dass die zusätzlichen Komponenten weniger auffällig sind, was es für Malware-Forscher schwieriger macht, sie zu sammeln.
Obwohl wir keine Beweise dafür haben, dass Void Rabisu von einem Staat gesponsert wird, ist es möglich, dass es sich um einen der finanziell motivierten Bedrohungsakteure aus dem kriminellen Untergrund handelt, der aufgrund der außergewöhnlichen geopolitischen Umstände durch den Krieg in der Ukraine in Cyberspionageaktivitäten hineingezogen wurde.
Die Indicators of Compromise finden Interessierte hier.
Zusätzliche Erkenntnisse stammen von Lord Remorin