RomCom 攻擊者使用投毒的應用程序攻擊烏克蘭與英國

被稱為 RomCom 的攻擊者正在利用 SolarWinds、KeePass 與 PDF Technologies 等公司的軟件作為誘餌，開展一系列的攻擊行動。研究人員發現攻擊者通過虛假軟件針對烏克蘭軍事機構發起攻擊，并且投遞 RomComRAT 遠控木馬。

RomCom 在攻擊行動中仿冒了 SolarWinds Network Performance Monitor、KeePass Open-Source Password Manager 與 PDF Reader Pro 這幾款軟件。

根據惡意網站的服務條款（TOS）與 C&C 服務器的 SSL 證書來看，烏克蘭是攻擊的主要目標，但包括英國在內的一些英語國家也在攻擊范圍內。根據地緣政治形勢判斷，RomCom 不像是一個以獲利為主要目標的網絡犯罪團伙。

 攻擊能力 

RomCom 首先爬取原始網頁的 HTML 代碼，并且注冊與合法域名相似的惡意域名。在對合法的應用程序進行投毒后，將其部署在誘餌網站上。最后，主要通過魚叉郵件投遞給受害者，某些情況下也會使用其他傳播媒介。

 RomCom 武器化 

武器化 SolarWinds Network Performance Monitor

如下顯示了實際的 SolarWinds 網站與誘餌網站的區別：

合法 SolarWinds 網站

誘餌 SolarWinds 網站

攻擊行動中，攻擊者將 SolarWinds Network Performance Monitor 武器化后，引誘受害者通過誘餌網站下載免費試用版。受害者填寫的申請表單是完全合法的，填寫后確實有真正的 SolarWinds 的銷售人員來聯系受害者以跟進產品試用情況。這也使受害者相信最近下載并安裝的應用程序是完全合法的。但其實，受害者已經掉入攻擊者的陷阱，被植入了 RomCom 遠控木馬的 Dropper。

SolarWinds-Orion-NPM-Eval.zip 的內容

惡意文件 Solarwinds-Orion-NPM-Eval.exe 的數字證書是 Wechapaisch Consulting & Construction Limited 該組織簽發的。攻擊者之前在 advancedipscanner.msi 文件中也重用過相同的證書，可以參考之前的分析報告。

惡意文件 Solarwinds-Orion-NPM-Eval.exe 的資源段中嵌入了三個 64 位 PE 文件：

• X86：PDB 路徑為 

  c:\users\123\source\repos\ins_asi\win32\release\instlib.pdb，

• 相同的 PDB 路徑也在 setup.exe 文件中出現過。
• X87：原始的 SolarWinds 安裝程序。
• X88：RomCom 遠控木馬 Dropper，通過 rundll32.exe 調用 fwdTst 函數即可在 C:\Users\user\AppData\Local\Temp\winver.dll 位置釋放 RomCom 遠控木馬。

武器化 KeePass

近日，研究人員發現攻擊者利用流行的密碼管理軟件 KeePass 發起新的攻擊。其攻擊方式與前述相同，引誘受害者通過與合法網站相似的誘餌網站來下載惡意軟件。

合法 KeePass 網站

誘餌 KeePass 網站

在這個攻擊行動中，攻擊者所使用的誘餌程序為 KeePass-2.52。網站下載的惡意文件名為 KeePass-2.52.zip，解壓后其中包含如下文件。

壓縮文件內容

壓縮文件中包含兩個惡意文件：

Setup.exe：調用 Dropper 的文件，其 PDB 為 C:\Users\123\source\repos\ins_asi\Win32\Release\setup.pdb。

hlpr.dat：該文件為 RomCom 遠控木馬的 Dropper。

研究人員跟蹤發現，RomCom 部署惡意軟件（如投毒的 KeePass 和 PDF Reader Pro）的網站都是烏克蘭語的。另外，根據誘餌網站的服務條款頁特征，擴展發現也有針對英國發起攻擊的網站。

href="privacy/uk_privacy.html"

href="privacy/uk_term.html"

href="privacy/uk_disclaimer.html"

投毒 KeePass

投毒 PDF Reader Pro

通過遙測，研究人員發現了在十月末注冊的新 C&C 服務器，其也使用了歸屬于英國公司的 SSL 證書。

Issuer: C=GB, ST=Greater London, L=Harmondsworth, O=British Government, OU=dgtlocean.com, CN=ca dgtlocean.com/emailAddress=ca(at)mail.com Issuer: C=GB, ST=Greater London, L=London, O=Government Digital Service, OU=you-supported.com, CN=ca you-supported.com/emdepth=0 C = GB, ST = British, L = Chesterfield, O = Royal Mail Group Ltd, OU = Group1, CN = Group1.A, emailAddress = server(at)mail.com
（向右滑動，查看更多）

 結論 

RomCom 的攻擊者正在針對烏克蘭與英語區國家發起新的攻擊行動，根據遙測數據很可能英國就是最新的攻擊目標。

攻擊者并未通過供應鏈攻擊的方式直接入侵廠商或者其他合法公司，只是創建了與合法網站相似的誘餌網站來引誘受害者。

 IOC 

4E4ECA58B896BDB6DB260F21EDC7760A

7C003B4F8B3C0AB0C3F8CB933E93D301

a7172aef66bb12e1bb40a557bb41e607

6310A2063687800559AE9D65CFF21B0A

CB933F1C913144A8CA6CFCFD913D6D28

D1A84706767BFB802632A262912E95A8

1a21a1e626fd342e794bcc3b06981d2c

8284421bbb94f3c37f94899cdcd19afd

550f42c5b555893d171285dc8b15b4b5

ABE9635ADBFEE2D2FBAEA140625C49ABE3BAA29C44FB53A65A9CDA02121583EE

246DFE16A9248D7FB90993F6F28B0EBE87964FFD2DCDB13105096CDE025CA614

3252965013ec861567510d54a97446610edba5da88648466de6b3145266386d9

F7013CE417FCBA0F36C4B9BF5F8F6E0E2B14D6ED33FF4D384C892773508E932E

AC09CBFEE4CF89D7B7A755C387E473249684F18AA699EB651D119D19E25BFF34

9D3B268416D3FAB4322CC916D32E0B2E8FA0DE370ACD686873D1522306124FD2

596eaef93bdcd00a3aedaf6ad6d46db4429eeba61219b7e01b1781ebbf6e321b

8b8dff5d30802fd79b76ee1531e7d050184a07570201ef1cd83a7bb8fa627cb0

5f187393acdeb67e76126353c74b6080d3e6ccf28ae580658c670d8b6e4aacc1