【安全资讯】新型RomCom变种“SnipBot”发布：攻击企业网络的高级恶意软件

概要：

Unit 42最近揭示了一种知名恶意软件家族RomCom的新变种，名为“SnipBot”。这种先进的恶意软件于2024年初首次发现，旨在渗透企业网络，执行远程命令并下载额外的恶意负载。专家认为这是一个更大攻击行动的一部分，目标包括IT服务、法律实体和农业等行业。

主要内容：

SnipBot是RomCom恶意软件家族的最新迭代版本，其采用了新的代码混淆技术和先进的反检测策略。2024年4月，Unit 42检测到一个不寻常的DLL模块，后来被确认是SnipBot恶意软件工具包的一部分。研究人员重建了感染链和感染后的活动。

SnipBot的初始感染通常通过包含伪装为合法PDF的可执行文件的网络钓鱼邮件传播。该恶意软件利用被盗或伪造的代码签名证书，确保初始负载看似合法，但后续模块未签名，增加了检测难度。它还采用了一些反沙箱技术，如进程名称验证和注册表键检查，使分析变得更加复杂。

成功感染目标系统后，SnipBot为攻击者提供了广泛的控制权限，包括执行命令、收集系统信息和外流数据。它还有能力下载更多的恶意负载，如SnippingTool.dll和svcnet.exe模块，为攻击者提供更多功能。Unit 42发现，攻击者试图从受害者网络中收集数据，包括域控制器信息。数据外流过程使用了像PuTTY和WinRAR这样的合法工具，经过伪装后用于恶意活动。

虽然RomCom历史上与勒索软件和敲诈活动有关，SnipBot的行为却表明它更倾向于情报收集和间谍活动。所选取的目标部门、负载和攻击者谨慎的后感染活动，暗示其重点在于数据外流，而非立即的金融利益。