Hakeri iza RomCom RAT-a osumnjičeni su za phishing napade usmjerene na predstojeći samit NATO-a u Vilniusu, kao i za identifikovanu organizaciju koja podržava Ukrajinu u inostranstvu.
Nalazi dolaze od BlackBerry Threat Research and Intelligence tima, koji je pronašao dva maliciozna dokumenta dostavljena sa mađarske IP adrese 4. jula 2023. godine.
RomCom, koji se takođe prati pod imenima Tropical Scorpius, UNC2596 i Void Rabisu, nedavno je primijećen kako organizuje kibernetičke napade na političare u Ukrajini koji blisko sarađuju sa zapadnim zemljama i zdravstvenom organizacijama sa sjedištem u SAD-u koja pomaže izbjeglicama koje bježe iz ratom razorene zemlje.
Lanci napada koje je postavila grupa su geopolitički motivisani i koristili su email-ove za krađu identiteta kako bi uputili žrtve na klonirane web stranice na kojima se nalaze trojanizovane verzije popularnog softvera. Mete uključuju vojsku, lance snabdjevanja hranom i IT kompanije.
Najnoviji dokumenti koje je BlackBerry identifikovao oponašaju Ukrajinski svjetski kongres, legitimnu neprofitnu organizaciju (“Overview_of_UWCs_UkraineInNATO_campaign.docx“) i sadrže lažno pismo u kojem se izjavljuje podrška uključivanju Ukrajine u NATO (“Letter_NATO_Summit_Vilnius_2023_ENG“).
“Iako još nismo otkrili početni vektor infekcije, haker se vjerovatno oslanjao na tehnike phishing-a, angažujući svoje žrtve da kliknu na posebno izrađenu repliku web stranice Svjetskog kongresa Ukrajine” navodi kanadska kompanija u analizi objavljenoj prošle sedmice.
Otvaranje datoteke pokreće sofistikovanu sekvencu izvršavanja koja uključuje preuzimanje posrednih korisnih podataka sa udaljenog servera, koji zauzvrat iskorištava Follina (CVE-2022-30190), sada zakrpljenu sigurnosnu grešku koja utiče na Microsoft-ov alat za dijagnostiku podrške (MSDT), kako bi se postiglo daljinsko izvršavanje koda.
Rezultat je implementacija RomCom RAT-a, izvršne datoteke napisane u C++ koja je dizajnirana da prikuplja informacije o kompromitovanom sistemu i da ga daljinski upravlja.
“Na osnovu prirode predstojećeg samita NATO-a i povezanih dokumenata koje je poslao haker, predviđene žrtve su predstavnici Ukrajine, stranih organizacija i pojedinaca koji podržavaju Ukrajinu” rekao je BlackBerry.
“Na osnovu dostupnih informacija, imamo srednje do visoko povjerenje da zaključimo da je ovo operacija rebrendiranja RomCom-a ili da jedan ili više članova hakera RomCom-a stoji iza ove nove kampanje koja podržava novu grupu pretnji.”
Izvor: The Hacker News