Атакуваха срещата на WPL в Брюксел чрез RomCom

Picture of Здравко Боджов
Здравко Боджов
Aрхив | Зловреден код

Нов, олекотен вариант на задната врата RomCom беше използван срещу участниците в срещата на върха на жените политически лидери (WPL) в Брюксел – среща на върха, посветена на равенството между половете и жените в политиката.

Кампанията използва фалшив уебсайт, имитиращ официалния портал на WPL, за да примами хора, които искат да участват или просто се интересуват от срещата на върха.

В доклад на Trend Micro, анализиращ новия вариант, се предупреждава, че неговите оператори, проследени от фирмата като „Void Rabisu“, са използвали по-скрита задна врата с нова техника за прилагане на TLS в комуникациите C2 (командване и контрол), за да затруднят откриването.

Освен това последната атака затвърждава прехода на групата от опортюнистични атаки с рансъмуер, които преди се приписваха на филиал на Куба, към кампания за кибератаки на високо ниво, включваща използването на уязвимости от нулев ден в продукти на Microsoft.

Насочване към жени политически лидери

През август 2023 г. Void Rabisu създава злонамерен уебсайт на адрес „wplsummit[.]com“, предназначен да имитира истинския уебсайт на жените политически лидери (WPL), хостван на wplsummit.org.

Fake WPL Summit website

Фалшив уебсайт на срещата на върха на WPL  Източник: Trend Micro

Фалшивият сайт е свързан с папка в OneDrive чрез бутон, наречен „Видеоклипове и снимки“, която съдържа снимки от двата дни на събитието, взети от истинския сайт, и програма за изтегляне на зловреден софтуер, наречена „Непубликувани снимки“.

Files hosted on OneDrive

Файлове, хоствани в OneDrive (Trend Micro)

Зловредният изпълним файл е подписан със сертификат на Elbor LLC и представлява саморазгъващ се архив, съдържащ 56 снимки, които действат като примамки, докато втори криптиран файл се изтегля от отдалечен хост.

Genuine images from the event are contained in the archive

Оригинални снимки от събитието се съдържат в архива Източник: Trend Micro

Вторият полезен товар е DLL, който се декриптира и зарежда в паметта, за да избегне откриване, и продължава да извлича допълнителни компоненти, необходими за установяване на комуникация със сървъра на нападателя.

XOR-encrypted payload

 

RomCom 4.0

Trend Micro идентифицира последния, орязан вариант на RomCom като четвъртата основна версия на backdoor, като обяснява, че това е същият зловреден софтуер, който изследователите на Volexity наскоро нарекоха „Peapod“.

В сравнение с RomCom 3.0, предишната версия, наблюдавана в операциите на Void Rabisu, новият вариант на backdoor е претърпял значителни промени, което го прави по-лек и по-скрит.

Сега той поддържа само следните десет команди, което е значително намаление в сравнение с предишните 42.

  • Без действие – функцията за обработка връща нула; зловредният софтуер изчаква следващата команда.
  • Изпълнение на команда – Изпълнява команда и изпраща обратно нейния изход.
  • Качване на файл – Качва файл на компрометираната машина.
  • Изтегляне на файл – Извлича файл от заразената машина.
  • Изпълнение на команда – Изпълнява дадена команда.
  • Интервал на актуализиране – Променя честотата на проверка на задната врата (по подразбиране 60 секунди) и актуализира системния регистър.
  • Get system info (Получаване на системна информация) – Извлича оперативната памет, процесора, локалното време и потребителското име.
  • Update network component (Актуализиране на мрежовия компонент) – Актуализира данните за мрежовия компонент в системния регистър на Windows.
  • Деинсталиране – Изчиства съответните ключове от системния регистър и изтрива свързаните файлове.
  • Получаване на името на услугата от регистъра на Windows

Освен това, вместо да използва модифицирани MSI, за да пусне компонентите си директно в устройствата, новият вариант използва EXE файл, за да изтегли криптирани с XOR DLL, като зарежда всички компоненти в паметта.

В RomCom 4.0 са включени и нови функции, свързани със сигурността на транспортния слой (TLS) – протокол, предназначен да осигури сигурна комуникация със сървъра C2.

Зловредният софтуер е кодиран така, че да принуждава функциите на WinHTTP да използват специално версията TLS 1.2, вместо да позволява на операционната система да избере версията TLS по подразбиране.

Тази система за прилагане води до грешка в Windows 7, която Trend Micro счита за защитена от най-новия вариант на RomCom.

Целта на този механизъм вероятно е да направи C2 комуникацията по-устойчива на шпиониране, да усложни автоматичното откриване и евентуално да позволи на нападателите да филтрират неподходящите жертви.

Като цяло тактиката на Void Rabisu и разгръщането на зловредния софтуер RomCom остават неясни.

Ясно е обаче, че разработката на бекдора все още продължава, а операторите му са все по-фокусирани върху кибершпионаж на най-високо ниво.

Trend Micro заключава, че е много вероятно Void Rabisu да се насочи към всички големи конференции, свързани с групи със специални интереси, затова се препоръчва повишено внимание при посещение на сайтовете на събитията.

 

#ЕС, # зловреден код
По материали от Интернет

Подобни

Рансъмуер атаките нараснаха с 50% през 2025 г.
10.03.2026
ransomware3
Израелски потребители стават жертви на фалшива версия на Red Alert
9.03.2026
thedigitalartist-dont-panic-1067044_640
900 000 потребители са инсталирали зловредни ИИ разширения за браузър
8.03.2026
adrozek-malware-firefox-chrome-yandex-edge-browser-1
Китайска хакерска група атакува телекоми
8.03.2026
china
Фалшиви инсталатори на OpenClaw в GitHub
8.03.2026
GitHub___headpic (1)
JavaScript „червей“ предизвика инцидент със сигурността в Wikimedia
8.03.2026
Wikipedia

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.