出于经济利益，Void Rabisu使用RomCom后门在地缘冲突中获利

由经济利益驱动，恶意组织在地缘冲突区域发起APT攻击的趋势越来越明显。

Void Rabisu，也被称为Tropical Scorpius，研究人员认为它使用RomCom后门发起攻击。分析发现，Void Rabisu的攻击是出于经济动机。自2022年10月以来，Void Rabisu的动机似乎发生了变化，当时RomCom后门被报道出现在俄乌冲突中。

研究发现，至少自2022年10月以来，RomCom后门一直出现在地缘政治区域，接下来，研究人员将讨论RomCom是如何随着时间的推移而演变的，以及后门是如何通过类似APT的方法传播的，以及目前正在发生的著名网络犯罪活动所使用的方法，以表明RomCom正在使用更多的逃避技术。

RomCom使用的第三方服务也被其他攻击者使用，如恶意软件签名和二进制加密。RomCom已经通过许多诱饵网站传播。Void Rabisu是出于经济动机的，他们的目标和动机在特殊的地缘政治环境下看起来更像是出于政治目的。

自2022年夏天以来，研究人员一直在跟踪RomCom的活动，自那以后，它的逃避方法有所升级，恶意软件不仅经常使用VMProtect来增加手动和自动沙盒分析的难度，而且还在有效负载文件上使用二进制填充技术。这为文件添加了大量的覆盖字节，增加了恶意负载的大小（研究人员看到一个文件的大小为1.7G）。此外，最近添加了一个新的例程，该例程涉及有效负载文件的加密，只有在下载特定密钥以激活有效负载的情况下，才能对有效负载文件进行解密。

除了这些逃避技术外，RomCom还使用诱饵网站进行传播，这些网站通常看起来是合法的，并被用于目标定位。这使得通过网络信誉系统自动屏蔽这些诱惑网站变得更加困难。Void Rabisu一直在使用谷歌广告诱导他们的目标访问诱饵网站，类似于2022年12月传播IcedID僵尸网络的活动。一个关键的区别是，虽然IcedID的目标范围更广，但Void Rabisu可能选择了谷歌广告向其广告商提供的更有针对性的目标。

RomCom的活动还利用了具有高度针对性的鱼叉式网络钓鱼电子邮件。

在RomCom诱饵网站上，目标被提供合法应用程序的木马版本，如聊天应用程序(如AstraChat和Signal)、PDF阅读器、远程桌面应用程序、密码管理器和其他通常由系统管理员使用的工具。

研究人员统计了自2022年7月以来建立的几十个诱饵网站。例如，RomCom在2022年3月对一名欧洲议会议员使用了鱼叉式网络钓鱼，但在2022年10月通过谷歌广告定位了一家欧洲国防公司，该广告导致一个中介登陆网站重定向到RomCom诱饵网站。该中介登陆网站使用了域名“kagomadb[.]com”，该域名后来于2022年12月用于Qakbot和Gozi有效负载。

追踪发现，RomCom后门的目标是乌克兰及其盟友。

接下来，我们将分析2023年2月针对东欧目标使用的RomCom后门样本。Palo Alto的Unit 42分析了以前的RomCom版本，使用模块化架构，支持多达20种不同的命令。从那时起，恶意软件在支持的命令数量方面发生了显著变化，但其模块化架构几乎没有改变。RomCom 3.0背后的攻击者还使用不同的技术来释放和执行恶意软件。该分析基于一项将RomCom 3.0嵌入AstraChat即时消息软件安装包的活动。

astrachat.msi 文件是一个Microsoft安装程序（msi）文档。尽管安装了与合法的AstraChat软件相关的文件，但它还是打开了一个恶意的InstallA.dll文件，并调用其Main()函数。

InstallA.dll文件提取%PUBLIC%\Libraries文件夹下的三个动态链接库（DLL）文件：

prxyms

winipfile

netid

这些DLL文件中的数字是基于从HKLM\SOFTWARE\Microsoft\Cryptography\MachineGuid的Windows注册表中读取的计算机GUID的整数。

为了持久性，RomCom使用COM劫持，因此得名。InstallA.dll在Windows注册表中写入以下注册表值：

[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{C90250F3-4D7D-4991-9B69-A5C5BC1C2AE6}\InProcServer32]

@="%PUBLIC%\\Libraries\\prxyms

这会覆盖HKEY_LOCAL_MACHINE hive中的相同项，导致请求该类ID（CLSID）的进程加载位于%PUBLIC%\Libraries\prxyms.DLL的RomCom加载程序DLL。其中一个进程是explorer.exe，它由RomCom dropper重新启动，因此调用加载程序DLL。

RomCom加载程序还通过使用转发的导出将对其导出函数的调用重定向到合法的actxprxy.dll。

RomCom 3.0加载程序(prxyms

但是，在调用被转发之前，RomCom加载程序的DLL入口点上的恶意代码会运行。这段代码使用 rundll32.exe来执行从winipfile

RomCom 3.0分为三个组件：一个加载器，一个与命令和控制(C&C)服务器交互的网络组件，以及一个在受害者计算机上执行操作的工作组件。网络组件由netid

RomCom 3.0总体架构

RomCom 3.0命令是恶意网络组件对HTTP POST请求的响应。

RomCom 3.0命令结构

上图显示了接收到命令5的示例，该命令是将文件下载到受害者的计算机上的命令。用于通信的ID是0x950，并且接收到带有附加数据的命令0x05。在这种情况下，附加数据告诉受感染计算机上运行的恶意软件，下载的文件应占用939 (0x3ac – 1) 4KB 块。文件本身是在单独的响应中下载的，因此在这种情况下，受害者端的最终文件大小将为3,846,144字节。作为一种逃避技术，将空字节附加到文件中以实现此结果，附加数据字段的内容可能因命令而异。

在RomCom 3.0中，研究人员列举了42个有效命令，以下是用于常规后门的大量命令，但是其中一些命令只是其他命令的变体。

1—发送连接的驱动器信息；

2—发送指定目录下的文件名列表；

3—启动cmd.exe以运行现有程序；

4—将指定的文件上载到C&C服务器；

5—将文件下载到受害者的计算机上；

6—删除受害者计算机上的指定文件；

7—删除受害者计算机上的指定目录；

8—生成一个带有PID欺骗的给定进程(PID也作为命令数据的一部分)；

12—从%PUBLIC%\Libraries\PhotoDirector.dll中调用startWorker()，然后将%PUBLIC%\Libraries\PhotoDirector.zip发送到C&C服务器并将其删除；

13—从%PUBLIC%\Libraries\PhotoDirector.dll中调用startWorker()，将屏幕信息写入%PUBLIC%\Libraries\update.conf；

14—将%PUBLIC%\Libraries\PhotoDirector.zip上传到C&C服务器并将其删除；

15—发送正在运行的进程及其PID的列表；

16—发送已安装软件列表；

17—删除worker组件(winipfile

18—下载文件并将其保存到%PUBLIC%\Libraries\PhotoDirector.dll；

19—下载一个文件，保存到“%PUBLIC%\Libraries\BrowserData\procsys.dll”中，调用其导出的stub()函数；

20—下载一个可能包含3proxy和plink的ZIP文件；

21—使用3proxy和plink，通过SSH协议建立代理，接收IP地址、密码、本地和远程端口作为命令参数，SSH服务器用户名固定为“john”；

22—终止3proxy.exe和plink.exe进程；

23—下载一个文件并将其保存到%PUBLIC%\Libraries\upd-fil

24—发送%PUBLIC%\Libraries\BrowserData\Result的内容；

25—复制工作线程；

26—发送Windows版本；

29—从C&C服务器下载freeSSHd；

30—运行freeSSHd并使用plink创建51.195.49.215的反向连接，用户名为“john”，密码为“eK6czNHWCT569L1xK9ZH”

31—关闭freeSSHd进程；

32—在%USERPROFILE%中的“下载”、“文档”和“桌面”文件夹中发送.txt、.rtf、.xls、.xlsx、.ods、.cmd、.pdf、.vbs、.ps1、.one、.kdb、/kdb、.doc、.doc，.odt、.eml、.msg和.email文件；

34—在受害者计算机的隐藏窗口运行AnyDesk，将AnyDesk ID发送给C&C服务器；

35—终止AnyDesk进程，并删除其可执行文件；

36—下载AnyDesk可执行文件并将其保存到%PUBLIC%\Libraries\dsk.exe；

38—下载文件并将其保存到%PUBLIC%\Libraries\wallet.exe；

39—下载文件并将其保存到%PUBLIC%\Libraries\7z.dll；

40—下载文件并将其保存到%PUBLIC%\Libraries\7z.exe；

41—发送用7-Zip压缩的%PUBLIC%\Libraries\tempFolder的内容；

42—下载文件并将其保存到%PUBLIC%\Libraries\7za.exe；

43—使用%PUBLIC%\Libraries\7za.exe将给定文件夹压缩为fold.zip文档，并将压缩后的文档发送到C&C服务器；

44—终止PhotoDirector.dll进程；

45—下载文件并将其保存到%PUBLIC%\Libraries\msg.dll；

46—调用%PUBLIC%\Libraries\msg.dll导出的stW()函数；

47—下载文件并将其保存到%PUBLIC%\Libraries\FileInfo.dll；

48—调用%PUBLIC%\Libraries\FileInfo.dll导出的fSt()函数；

49—更新网络组件；

根据发送回C&C服务器的消息以及命令如何使用这些文件，研究人员可以推断出几个附加组件的用途：

PhotoDirector.dll—用于获取一个或多个屏幕截图，并将它们压缩到%PUBLIC%\Libraries\PhotoDirector.zip中的程序；

procsys.dll—一个被称为STEALDEAL的窃取程序，用于检索浏览器cookie并将其写入%PUBLIC%\Libraries\BrowserData\Result；

wallet.exe—一个加密钱包抓取器，将被盗信息写入%PUBLIC%\Libraries\tempFolder；

msg.dll—用于窃取聊天信息的即时消息抓取器；

FileInfo.dll—FTP凭据的窃取器，或使受害者的计算机将文件上传到FTP服务器的组件；

除了这些额外的恶意软件，RomCom 3.0似乎也有下载和运行合法软件的命令：

dsk.exe–AnyDesk软件的便携式版本；

7z.dll、7z.exe和7za.exe–与7-Zip程序相关的文件；

通过RomCom的C&C服务器下载的窃取程序是一个相对简单的程序，它可以从以下浏览器中窃取存储的凭据和浏览历史：

Google ChromeMicrosoft EdgeMozilla FirefoxChromiumChrome BetaYandex Browser

窃取器还收集了有关已安装邮件客户端的信息。被盗数据本地存储在受害者计算机上的%PUBLIC%\Libraries\BrowserData\Result，通过C&C命令24，这些数据通过RomCom C&C服务器进行被泄漏。研究人员检测到这个窃取器是TrojanSpy.Win64.STEALDEAL，也被称为SneakyTealer。

RomCom 3.0二进制文件受VMProtect保护。有些二进制文件还使用有效的证书进行签名。因为攻击者决定使用VMProtect的反虚拟机功能，在没有修改或虚拟机加固的情况下在虚拟机中运行它的任何尝试都将导致恶意软件显示错误消息并退出。

RomCom 3.0示例中默认的VMProtect反虚拟机检测

RomCom使用的另一个有趣的技术是将空字节添加到从C&C服务器接收的文件中的能力。将文件增大可以是为了避免沙盒产品或安全软件扫描仪对文件大小进行限制。

在之后的RomCom版本中，托管在诱饵网站上的二进制文件包含加密的有效负载。要正确解密负载，它需要访问IP地址为94.142.138.244的web服务器并下载解密密钥。研究人员怀疑该网站是一个第三方服务，也可能被其他恶意软件使用，包括Vidar窃取程序，也被称为StealC。另外，最新的RomCom释放程序已停止释放worker组件。相反，网络组件要从C&C服务器下载它。

根据研究人员对受害者计算机和RomCom C&C服务器之间通信的观察，研究人员能够确定这种通信的数据包结构。最初，客户端会向服务器发送受害者计算机上的信息，例如其通用唯一标识符(UUID)、用户名和计算机名称。然后，服务器将使用一个四个字节长的会话ID进行响应。然后，C&C服务器对发送到受害计算机的每个命令在第一个字节上增加一个会话ID。

观察到的数据包结构

研究人员观察到的第一个命令是命令3，它使用cmd.exe运行带有参数/domain_trusts的Nltest命令。这样做是为了收集受害者计算机可能知道的任何域的信息。一旦命令完成，它将返回会话ID为五字节的命令结果；此时前四个字节是未知的，但研究人员观察到，如果它向服务器返回数据，则第一个字节将为0x01，如果它从服务器接收数据，则为0x00。

然后，C&C服务器似乎以自动的方式请求特定的信息，因为相同的请求会快速连续地发送。根据研究人员的分析，他们确定服务器正在请求受害计算机：

使用命令3返回ntlist/domain_trusts；

下载StealtDeal以收集某些信息；

使用StealtDeal从受害者的计算机收集cookie和其他信息；

使用命令32从“桌面”、“文档”和“下载”文件夹中收集文件；

C&C服务器和受害者计算机之间的通信流程

恶意软件使用证书为目标受害者下载的软件增加可信度。乍一看，正在签署这些二进制文件的公司看起来像是经过证书签名的合法公司。然而，仔细查看这些公司的网站会发现一些奇怪之处，包括不存在的电话号码、高管的照片、似乎不匹配的办公室地址。这让研究人员相信，这些要么是虚假公司，要么是合法公司，它们被滥用以逃避二进制文件授权签名检查。

AstraChat活动中使用的RomCom 3.0样本由一家名为Noray 的加拿大咨询公司签署，该公司拥有一个LinkedIn页面、一个网站，甚至在加拿大的商业注册中有一个列表。

Noray 咨询公司的LinkedIn页面截图

Noray 咨询公司的安大略省商业注册搜索结果

该公司的LinkedIn页面还提到，Noray 咨询公司致力于《萨班斯-奥克斯利法案》（SOX）规定的年度审计，以及其他风险控制领域。然而，领英的页面也指向一个不存在的网站noray[.]ca。

根据其LinkedIn页面，该公司声称总部位于安大略省，研究人员在加拿大企业的公共记录中查找了有关该公司的任何信息。在2020年，Noray 咨询公司的所有者已经修改了公司名称。攻击者似乎很善于利用那些不活跃或处于类似状态的公司，然后会盗用这些公司的名字。

在网上搜索Noray咨询公司时会发现，其主要网站有一个不匹配的域名firstbytecconsulting[.]com。该网站曾是一家专门从事项目管理公司的网站。该域名似乎已于2020年到期，但被购买并重新利用，类似于2020年之前的网站。现在，将这个域名与Noray咨询公司有关的是，网站上的地址详细信息与Noray咨询公司的LinkedIn页面上的地址信息相匹配：这是一家位于安大略省米尔顿的加拿大公司。联系人页面上有一张显示公司位置的地图，但地图是俄语的。这可能意味着制作这张谷歌地图的人的主要语言设置为俄语，这对于一家加拿大公司来说及其怪异。

网站联系人页面地图截图

研究人员还发现，他们网站上提到的人很可能是与企业没有任何关系的人的库存图像或人工智能生成的照片，如下图所示。

网站团队成员页面截图

进一步调查显示，上图中潜藏有许多危险标识：

这些人在互联网上似乎都没有真实的人物形象；

反向图像搜索显示，这些是在几个网站上使用的库存照片图像；

团队中的两名成员拥有相同的职位，即“经理、人力资源流程和薪酬”；

研究人员还观察到，Noray咨询公司网站其他部分的文本有部分是从其他网站复制的。这表明，这些攻击者正试图让这些网站变得可信，提供从网上找到的真实公司那里获得的看似现实的服务。

Void Rabisu有许多诱饵网站，试图说服目标下载木马合法应用程序。这些诱饵网站乍看起来是合法的，但仔细看会有许多奇怪之处。例如，一个网站同时有一个购物中心的营业地址和一家杂货店的联系电话号码。

Void Rabisu诱饵网站的联系方式截图

根据对互联网基础设施的分析，研究人员可以将在AstraChat活动和针对乌克兰武装部队的活动中用于签署RomCom二进制文件的两家加拿大公司其他有关80多家其他公司联系起来，这些公司大多是加拿大公司，其中约有20多家公司被用来签署其他恶意软件二进制文件，如Emotet、Matanbuchus Loader、BatLoader、名为SolarMarker的后门，以及coinminer（挖矿木马）。这让研究人员相信，Void Rabisu很可能正在使用第三方服务，该服务有助于用看似合法的加拿大公司的证书签署二进制文件。

参考及来源：https://www.trendmicro.com/en_us/research/23/e/void-rabisu-s-use-of-romcom-backdoor-shows-a-growing-shift-in-th.html