RomCom Uses SocGholish Fake Update Attacks to Deliver Mythic Agent Malware

Utilisation de fausses mises à jour pour déployer le malware Mythic Agent

Une campagne de cybersécurité a été observée ciblant une entreprise américaine d’ingénierie civile. Les acteurs de la menace, liés à l’Unité 29155 du GRU russe, ont utilisé le chargeur JavaScript SocGholish pour délivrer le malware RomCom, spécifiquement le composant Mythic Agent. Cette campagne marque la première fois que SocGholish est utilisé pour distribuer une charge utile RomCom.

L’organisation ciblée avait des liens passés avec des travaux pour une ville ukrainienne, ce qui semble avoir motivé l’attaque. SocGholish, connu pour son rôle d’intermédiaire d’accès initial, distribue généralement de fausses alertes de mise à jour de navigateur pour inciter les utilisateurs à télécharger des chargeurs malveillants. Ces derniers exploitent souvent des vulnérabilités dans les plugins de sites web peu sécurisés pour initier la chaîne d’infection.

RomCom, un acteur étatique russe impliqué dans la cybercriminalité et l’espionnage, utilise diverses méthodes, y compris le spear-phishing et des exploits zero-day. L’attaque analysée a permis aux attaquants d’établir une connexion inverse pour exécuter des commandes, mener des reconnaissances et déployer une backdoor Python nommée VIPERTUNNEL, ainsi qu’un chargeur DLL lié à RomCom qui active le Mythic Agent. Ce dernier est un framework post-exploitation permettant l’exécution de commandes et la manipulation de fichiers à distance.

Bien que l’attaque ait été bloquée avant de progresser, elle souligne l’intérêt continu de RomCom pour les entités liées à l’Ukraine. Le processus, de l’infection initiale à la livraison du chargeur RomCom, a été très rapide (moins de 30 minutes), et la livraison n’intervient qu’après vérification du domaine Active Directory de la cible. La nature généralisée des attaques SocGholish et la rapidité de progression des infections en font une menace significative.

Points Clés :

• Attaque Coordinée : Utilisation combinée de SocGholish (chargeur initial) et RomCom (charge utile avancée).
• Motivation Géopolitique : Ciblage d’une entreprise américaine en raison de liens avec l’Ukraine.
• Méthode d’Infection : Fausses mises à jour de navigateur web diffusées via des sites web compromis et vulnérables.
• Outils Déployés : Mythic Agent (un composant de red teaming post-exploitation), VIPERTUNNEL (une backdoor Python), et un chargeur DLL RomCom.
• Vérification de Cible : La livraison de la charge utile RomCom dépend de la validation du domaine Active Directory de la victime.
• Rapidité : Transition rapide de l’accès initial à l’infection.

Vulnérabilités (non spécifiées dans l’article, mais implicites dans la méthode d’attaque) :

• Exploitation de vulnérabilités dans les plugins de sites web pour injecter du code JavaScript.
• Ingénierie sociale incitant les utilisateurs à télécharger de fausses mises à jour.

Recommandations (implicites dans la nature de la menace et les contre-mesures décrites) :

• Sensibilisation à la Sécurité : Former les utilisateurs à reconnaître les fausses mises à jour et les sites web suspects.
• Sécurisation des Sites Web : Maintenir les plugins et les systèmes de gestion de contenu à jour pour corriger les vulnérabilités connues.
• Surveillance du Trafic Réseau : Détecter les communications avec des serveurs de commande et de contrôle (C2) suspects.
• Gestion des Accès : Vérifier et restreindre les permissions dans Active Directory.
• Utilisation de Solutions de Sécurité : Déployer des antivirus, des systèmes de détection d’intrusion et des outils de sécurité endpoint avancés.

Source