Търсене
Close this search box.

RomCom RAT се насочва към групи за подкрепа на НАТО и Украйна

Хакерите, които стоят зад RomCom RAT, са заподозрени във фишинг атаки, насочени към предстоящата среща на върха на НАТО във Вилнюс, както и към идентифицирана организация, подкрепяща Украйна в чужбина.

Констатациите идват от екипа за изследване на заплахите и разузнаване на BlackBerry, който е открил два злонамерени документа, изпратени от унгарски IP адрес на 4 юли 2023 г.

RomCom, проследяван и под имената Tropical Scorpius, UNC2596 и Void Rabisu, наскоро беше забелязан да организира кибератаки срещу политици в Украйна, които работят в тясно сътрудничество със западни държави, и базирана в САЩ здравна организация, ангажирана с подпомагането на бежанци, бягащи от разкъсваната от война страна.

Веригите от атаки, организирани от групата, са геополитически мотивирани и са използвали имейли с фишинг, за да насочат жертвите към клонирани уебсайтове, на които се намират троянски версии на популярен софтуер. Целите включват военни, вериги за доставка на храни и ИТ компании.

Последните документи за примамка, идентифицирани от BlackBerry, се представят за Украински световен конгрес, легитимна организация с нестопанска цел, („Overview_of_UWCs_UkraineInNATO_campaign.docx“) и съдържат фалшиво писмо, в което се декларира подкрепа за включването на Украйна в НАТО („Letter_NATO_Summit_Vilnius_2023_ENG(1).docx“).

„Въпреки че все още не сме разкрили първоначалния вектор на заразяване,  заплахата вероятно е разчитала на spear-phishing техники, като е ангажирала жертвите си да кликнат върху специално създадена реплика на уебсайта на Украинския световен конгрес“, заяви канадската компания в анализ, публикуван миналата седмица.

Отварянето на файла задейства сложна последователност на изпълнение, която включва извличане на междинни полезни товари от отдалечен сървър, който на свой ред използва Follina (CVE-2022-30190), вече поправен недостатък в сигурността, засягащ инструмента за диагностика на поддръжката на Microsoft (MSDT), за да постигне отдалечено изпълнение на код.

В резултат на това се разгръща RomCom RAT – изпълним файл, написан на C++, който е предназначен да събира информация за компрометираната система и да я управлява дистанционно.

„Въз основа на естеството на предстоящата среща на върха на НАТО и свързаните с нея примамливи документи, изпратени от субекта на заплахата, предвидените жертви са представители на Украйна, чуждестранни организации и лица, подкрепящи Украйна“, казват от BlackBerry.

„Въз основа на наличната информация имаме средна до висока степен на увереност да заключим, че това е операция на ребрандиран RomCom или че един или повече членове на групата за заплахи RomCom стоят зад тази нова кампания, подкрепяща нова група за заплахи.“

Източник: The Hacker News

Подобни публикации

28 февруари 2024

Китай стартира нов план за киберзащита на индус...

Тази седмица Министерството на промишлеността и информационните тех...
28 февруари 2024

Уязвимостта на плъгина WordPress LiteSpeed изла...

В плъгина LiteSpeed Cache за WordPress е разкрита уязвимост в сигур...
28 февруари 2024

Xeno RAT се превръща в мощна заплаха в GitHub

В GitHub е публикуван „сложно проектиран“ троянски кон ...
28 февруари 2024

Хакването на Optum е свързано с рансъмуера Blac...

Кибератаката срещу дъщерното дружество на UnitedHealth Group Optum,...
28 февруари 2024

Новата версия на IDAT loader използва стеганогр...

Хакерска група, проследена като „UAC-0184“, е забелязан...
28 февруари 2024

DOOM идва в интелигентните косачки Husqvarna

Ако някога сте искали да играете DOOM на косачка за трева, скоро ще...
28 февруари 2024

Белият дом призовава да се премине към езици за...

Службата на националния кибердиректор на Белия дом (ONCD) призова д...
Бъдете социални
Още по темата
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
27/02/2024

Киберсигурност - четки за з...

Звучи като виц, но всички тези...
27/02/2024

САЩ и НАТО: Руските хакери ...

Членовете на разузнавателния алианс „Пет очи“...
Последно добавени
28/02/2024

Китай стартира нов план за ...

Тази седмица Министерството на промишлеността и...
28/02/2024

Уязвимостта на плъгина Word...

В плъгина LiteSpeed Cache за WordPress...
28/02/2024

Xeno RAT се превръща в мощ...

В GitHub е публикуван „сложно проектиран“...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!