Търсене
Close this search box.

RomCom RAT се насочва към групи за подкрепа на НАТО и Украйна

Хакерите, които стоят зад RomCom RAT, са заподозрени във фишинг атаки, насочени към предстоящата среща на върха на НАТО във Вилнюс, както и към идентифицирана организация, подкрепяща Украйна в чужбина.

Констатациите идват от екипа за изследване на заплахите и разузнаване на BlackBerry, който е открил два злонамерени документа, изпратени от унгарски IP адрес на 4 юли 2023 г.

RomCom, проследяван и под имената Tropical Scorpius, UNC2596 и Void Rabisu, наскоро беше забелязан да организира кибератаки срещу политици в Украйна, които работят в тясно сътрудничество със западни държави, и базирана в САЩ здравна организация, ангажирана с подпомагането на бежанци, бягащи от разкъсваната от война страна.

Веригите от атаки, организирани от групата, са геополитически мотивирани и са използвали имейли с фишинг, за да насочат жертвите към клонирани уебсайтове, на които се намират троянски версии на популярен софтуер. Целите включват военни, вериги за доставка на храни и ИТ компании.

Последните документи за примамка, идентифицирани от BlackBerry, се представят за Украински световен конгрес, легитимна организация с нестопанска цел, („Overview_of_UWCs_UkraineInNATO_campaign.docx“) и съдържат фалшиво писмо, в което се декларира подкрепа за включването на Украйна в НАТО („Letter_NATO_Summit_Vilnius_2023_ENG(1).docx“).

„Въпреки че все още не сме разкрили първоначалния вектор на заразяване,  заплахата вероятно е разчитала на spear-phishing техники, като е ангажирала жертвите си да кликнат върху специално създадена реплика на уебсайта на Украинския световен конгрес“, заяви канадската компания в анализ, публикуван миналата седмица.

Отварянето на файла задейства сложна последователност на изпълнение, която включва извличане на междинни полезни товари от отдалечен сървър, който на свой ред използва Follina (CVE-2022-30190), вече поправен недостатък в сигурността, засягащ инструмента за диагностика на поддръжката на Microsoft (MSDT), за да постигне отдалечено изпълнение на код.

В резултат на това се разгръща RomCom RAT – изпълним файл, написан на C++, който е предназначен да събира информация за компрометираната система и да я управлява дистанционно.

„Въз основа на естеството на предстоящата среща на върха на НАТО и свързаните с нея примамливи документи, изпратени от субекта на заплахата, предвидените жертви са представители на Украйна, чуждестранни организации и лица, подкрепящи Украйна“, казват от BlackBerry.

„Въз основа на наличната информация имаме средна до висока степен на увереност да заключим, че това е операция на ребрандиран RomCom или че един или повече членове на групата за заплахи RomCom стоят зад тази нова кампания, подкрепяща нова група за заплахи.“

Източник: The Hacker News

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...

Грешки в киберсигурността на крайните потребите...

В днешните забързани организации крайните потребители понякога се о...
Бъдете социални
Още по темата
24/07/2024

Китайските хакери разполага...

Китайската хакерска група, проследена като „Evasive...
23/07/2024

САЩ налагат санкции на руск...

Правителството на САЩ наложи санкции на...
15/07/2024

Банките в Сингапур ще према...

Паричният орган на Сингапур (MAS) обяви...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!