Che i brand noti fossero spesso usati come esca per i cyber attacchi non è una novità. Basta dare un’occhiata alle classifiche periodiche pubblicate da vari vendor di sicurezza. Non capita però tutti i giorni che a finire nel mucchio siano i marchi di produttori di soluzioni per la sicurezza cyber, con implementazioni raffinate e particolarmente subdole. È il caso di SolarWinds, Keepass e Veeam.

Due differenti ricerche condotte da BlackBerry e dalla

https://twitter.com/Unit42_Intel/status/1588199843981402114

Per rendere più credibile il tutto gli attaccanti hanno persino impiegato la tecnica del domain squatting per la registrazione dei domini. Il malware veniva mascherato come programma legittimo, inserendo il dropper nel pacchetto. Così facendo è comparso online un sito web che impersona SolarWinds NPM e che offre una versione trojanizzata della prova gratuita. Per meglio ingannare la vittima, il sito include anche un modulo di registrazione SolarWinds autentico, che porta la vittima ad essere effettivamente contattata da un vero incaricato dell'assistenza clienti.

Analizzando l'app scaricata (Solarwinds-Orion-NPM-Eval.exe), tuttavia, i ricercatori hanno individuato una DLL dannosa che scarica ed esegue una copia del RAT RomCom. Il file, inoltre, è firmato con lo stesso certificato digitale utilizzato dagli operatori del RAT in una campagna in Ucraina, il cui proprietario risulta essere la "Wechapaisch Consulting & Construction Limited".

Nel caso del sito clonato per il celebre gestore di password KeePass, gli attori della minaccia hanno avviato la distribuzione di una release "KeePass-2.52.zip". Nell’archivio da scaricare come di consueto per l’installazione, oltre ai file legittimi compare "hlpr.dat" che è il dropper di RAT RomCom, e "setup.exe" - il file che l’utente dovrebbe eseguire manualmente per l’installazione - che avvia il dropper stesso. Nel caso di KeePass esistono due versioni: in lingua inglese e ucraina, a conferma del fatto che RomCom sta ampliando i propri obiettivi all’occidente.

Per quanto concerne Veem, i ricercatori della Unit 42 hanno identificato un pacchetto di installazione del software Veeam Backup and Recovery con modalità e tecniche riconducibili a quelle degli altri due casi menzionati.

Un elemento ancora da chiarire riguarda la modalità con cui le potenziali vittime vengono attirate sui siti canaglia. Potrebbero sfruttare campagne di phishing, link postati su forum e social media o manipolazioni dei risultati delle ricerche online.

Altro punto su cui fare luce è l’attribuzione degli attacchi, importante per la threat intelligence. Nell'agosto 2022 la Unit 42 aveva associato il RAT RomCom a un affiliato di Cuba Ransomware soprannominato "Tropical Scorpius". Si ritiene che sia stato il primo attore a impiegarlo. Tuttavia a quei tempi RomCom RAT era un malware sconosciuto che si limitava a offrire agli operatori dieci comandi per azioni sui file, spawning e spoofing dei processi, esfiltrazione dei dati e lancio di una shell inversa. Più di recente fra gli utilizzatori si è aggiunto Industrial Spy, ma la motivazione alla base delle attività di RomCom rimane tuttora poco chiara.