Ngày 10 tháng 7 năm 2023THNCMối đe dọa mạng / Phần mềm độc hại
Các tác nhân đe dọa đằng sau RomCom RAT đã bị nghi ngờ thực hiện các cuộc tấn công lừa đảo nhằm vào Hội nghị thượng đỉnh NATO sắp tới ở Vilnius cũng như một tổ chức được xác định hỗ trợ Ukraine ở nước ngoài.
Phát hiện này đến từ nhóm Tình báo và Nghiên cứu Mối đe dọa của BlackBerry, nhóm này đã tìm thấy hai tài liệu độc hại được gửi từ một địa chỉ IP của Hungary vào ngày 4 tháng 7 năm 2023.
RomCom, cũng được theo dõi dưới tên Tropical Scorpius, UNC2596 và Void Rabisu, gần đây đã bị phát hiện dàn dựng các cuộc tấn công mạng chống lại các chính trị gia ở Ukraine, những người đang hợp tác chặt chẽ với các nước phương Tây và một tổ chức chăm sóc sức khỏe có trụ sở tại Hoa Kỳ tham gia hỗ trợ những người tị nạn chạy trốn khỏi đất nước bị chiến tranh tàn phá .
Các chuỗi tấn công do nhóm thực hiện có động cơ địa chính trị và đã sử dụng các email lừa đảo trực tiếp để hướng nạn nhân đến các trang web nhân bản lưu trữ các phiên bản phần mềm phổ biến bị trojan hóa. Các mục tiêu bao gồm quân đội, chuỗi cung ứng thực phẩm và các công ty CNTT.
Các tài liệu thu hút mới nhất được BlackBerry xác định mạo danh Đại hội Thế giới Ukraine, một tổ chức phi lợi nhuận hợp pháp, (“Overview_of_UWCs_UkraineInNATO_campaign.docx”) và có một bức thư giả tuyên bố ủng hộ việc Ukraine gia nhập NATO (“Letter_NATO_Summit_Vilnius_2023_ENG(1).docx”).
“Mặc dù chúng tôi chưa phát hiện ra vectơ lây nhiễm ban đầu, nhưng kẻ đe dọa có thể đã dựa vào các kỹ thuật lừa đảo trực tuyến, lôi kéo nạn nhân của họ nhấp vào một bản sao được chế tạo đặc biệt của trang web Đại hội Thế giới Ukraine”, công ty Canada cho biết trong một phân tích được công bố. tuần trước.
Việc mở tệp sẽ kích hoạt một trình tự thực thi phức tạp đòi hỏi phải truy xuất các tải trọng trung gian từ một máy chủ từ xa, sau đó, khai thác Follina (CVE-2022-30190), một lỗ hổng bảo mật hiện đã được vá ảnh hưởng đến Công cụ chẩn đoán hỗ trợ của Microsoft (MSDT), để đạt được thực thi mã từ xa.
HỘI THẢO TRỰC TUYẾN SẮP TỚI
🔐 PAM Security – Giải pháp chuyên nghiệp để bảo mật các tài khoản nhạy cảm của bạn
Hội thảo trực tuyến do chuyên gia hướng dẫn này sẽ trang bị cho bạn kiến thức và chiến lược cần thiết để chuyển đổi chiến lược bảo mật quyền truy cập đặc quyền của mình.
Đặt chỗ của bạn
Kết quả là việc triển khai RomCom RAT, một tệp thực thi được viết bằng C++ được thiết kế để thu thập thông tin về hệ thống bị xâm nhập và điều khiển nó từ xa.
BlackBerry cho biết: “Dựa trên bản chất của Hội nghị thượng đỉnh NATO sắp tới và các tài liệu thu hút liên quan do kẻ đe dọa gửi đi, các nạn nhân dự định là đại diện của Ukraine, các tổ chức nước ngoài và cá nhân ủng hộ Ukraine”.
“Dựa trên thông tin có sẵn, chúng tôi có độ tin cậy từ trung bình đến cao để kết luận rằng đây là một hoạt động đổi thương hiệu RomCom hoặc một hoặc nhiều thành viên của nhóm đe dọa RomCom đứng sau chiến dịch mới này hỗ trợ một nhóm đe dọa mới.”
