Меню
Хакерите, които стоят зад RomCom RAT, са заподозрени във фишинг атаки, насочени към предстоящата среща на върха на НАТО във Вилнюс, както и към идентифицирана организация, подкрепяща Украйна в чужбина.
Констатациите идват от екипа за изследване на заплахите и разузнаване на BlackBerry, който е открил два злонамерени документа, изпратени от унгарски IP адрес на 4 юли 2023 г.
RomCom, проследяван и под имената Tropical Scorpius, UNC2596 и Void Rabisu, наскоро беше забелязан да организира кибератаки срещу политици в Украйна, които работят в тясно сътрудничество със западни държави, и базирана в САЩ здравна организация, ангажирана с подпомагането на бежанци, бягащи от разкъсваната от война страна.
Веригите от атаки, организирани от групата, са геополитически мотивирани и са използвали имейли с фишинг, за да насочат жертвите към клонирани уебсайтове, на които се намират троянски версии на популярен софтуер. Целите включват военни, вериги за доставка на храни и ИТ компании.
Последните документи за примамка, идентифицирани от BlackBerry, се представят за Украински световен конгрес, легитимна организация с нестопанска цел, („Overview_of_UWCs_UkraineInNATO_campaign.docx“) и съдържат фалшиво писмо, в което се декларира подкрепа за включването на Украйна в НАТО („Letter_NATO_Summit_Vilnius_2023_ENG(1).docx“).
„Въпреки че все още не сме разкрили първоначалния вектор на заразяване, заплахата вероятно е разчитала на spear-phishing техники, като е ангажирала жертвите си да кликнат върху специално създадена реплика на уебсайта на Украинския световен конгрес“, заяви канадската компания в анализ, публикуван миналата седмица.
Отварянето на файла задейства сложна последователност на изпълнение, която включва извличане на междинни полезни товари от отдалечен сървър, който на свой ред използва Follina (CVE-2022-30190), вече поправен недостатък в сигурността, засягащ инструмента за диагностика на поддръжката на Microsoft (MSDT), за да постигне отдалечено изпълнение на код.
В резултат на това се разгръща RomCom RAT – изпълним файл, написан на C++, който е предназначен да събира информация за компрометираната система и да я управлява дистанционно.
„Въз основа на естеството на предстоящата среща на върха на НАТО и свързаните с нея примамливи документи, изпратени от субекта на заплахата, предвидените жертви са представители на Украйна, чуждестранни организации и лица, подкрепящи Украйна“, казват от BlackBerry.
„Въз основа на наличната информация имаме средна до висока степен на увереност да заключим, че това е операция на ребрандиран RomCom или че един или повече членове на групата за заплахи RomCom стоят зад тази нова кампания, подкрепяща нова група за заплахи.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
