Хакерите, които стоят зад RomCom RAT, са заподозрени във фишинг атаки, насочени към предстоящата среща на върха на НАТО във Вилнюс, както и към идентифицирана организация, подкрепяща Украйна в чужбина.

Констатациите идват от екипа за изследване на заплахите и разузнаване на BlackBerry, който е открил два злонамерени документа, изпратени от унгарски IP адрес на 4 юли 2023 г.

RomCom, проследяван и под имената Tropical Scorpius, UNC2596 и Void Rabisu, наскоро беше забелязан да организира кибератаки срещу политици в Украйна, които работят в тясно сътрудничество със западни държави, и базирана в САЩ здравна организация, ангажирана с подпомагането на бежанци, бягащи от разкъсваната от война страна.

Веригите от атаки, организирани от групата, са геополитически мотивирани и са използвали имейли с фишинг, за да насочат жертвите към клонирани уебсайтове, на които се намират троянски версии на популярен софтуер. Целите включват военни, вериги за доставка на храни и ИТ компании.

Последните документи за примамка, идентифицирани от BlackBerry, се представят за Украински световен конгрес, легитимна организация с нестопанска цел, („Overview_of_UWCs_UkraineInNATO_campaign.docx“) и съдържат фалшиво писмо, в което се декларира подкрепа за включването на Украйна в НАТО („Letter_NATO_Summit_Vilnius_2023_ENG(1).docx“).

„Въпреки че все още не сме разкрили първоначалния вектор на заразяване,  заплахата вероятно е разчитала на spear-phishing техники, като е ангажирала жертвите си да кликнат върху специално създадена реплика на уебсайта на Украинския световен конгрес“, заяви канадската компания в анализ, публикуван миналата седмица.

Отварянето на файла задейства сложна последователност на изпълнение, която включва извличане на междинни полезни товари от отдалечен сървър, който на свой ред използва Follina (CVE-2022-30190), вече поправен недостатък в сигурността, засягащ инструмента за диагностика на поддръжката на Microsoft (MSDT), за да постигне отдалечено изпълнение на код.

В резултат на това се разгръща RomCom RAT – изпълним файл, написан на C++, който е предназначен да събира информация за компрометираната система и да я управлява дистанционно.

„Въз основа на естеството на предстоящата среща на върха на НАТО и свързаните с нея примамливи документи, изпратени от субекта на заплахата, предвидените жертви са представители на Украйна, чуждестранни организации и лица, подкрепящи Украйна“, казват от BlackBerry.

„Въз основа на наличната информация имаме средна до висока степен на увереност да заключим, че това е операция на ребрандиран RomCom или че един или повече членове на групата за заплахи RomCom стоят зад тази нова кампания, подкрепяща нова група за заплахи.“