RomCom RAT’ın arkasındaki tehdit aktörlerinin, RomCom RAT’ı hedef alan kimlik avı saldırılarından şüpheleniliyordu. yaklaşan NATO Zirvesi Vilnius’ta ve yurtdışında Ukrayna’yı destekleyen tanımlanmış bir kuruluş.
Bulgular, BlackBerry Tehdit Araştırma ve İstihbarat ekibinden geliyor. kurmak 4 Temmuz 2023’te bir Macar IP adresinden gönderilen iki kötü amaçlı belge.
Tropical Scorpius, UNC2596 ve Void Rabisu adlarıyla da izlenen RomCom’un yakın zamanda Ukrayna’da Batılı ülkelerle yakın çalışan politikacılara ve savaştan zarar görmüş ülkeden kaçan mültecilere yardım etmekle görevli ABD merkezli bir sağlık kuruluşuna karşı siber saldırılar düzenlediği gözlemlendi. .
Grup tarafından oluşturulan saldırı zincirleri, jeopolitik olarak motive edilmiştir ve kurbanları popüler yazılımların truva atı haline getirilmiş sürümlerini barındıran klonlanmış web sitelerine yönlendirmek için hedef odaklı kimlik avı e-postaları kullanmıştır. Hedefler orduları, gıda tedarik zincirlerini ve BT şirketlerini içerir.
BlackBerry tarafından tanımlanan en son sahte belgeler, meşru bir kâr amacı gütmeyen Ukrayna Dünya Kongresi’nin kimliğine bürünmektedir (“Genel Bakış_of_UWCs_UkraineInNATO_campaign.docx“) ve Ukrayna’nın NATO’ya dahil edilmesini desteklediğini beyan eden sahte bir mektup (“Letter_NATO_Summit_Vilnius_2023_ENG(1).docx“).
Kanadalı şirket yayınladığı bir analizde, “İlk bulaşma vektörünü henüz ortaya çıkarmamış olsak da, tehdit aktörü büyük olasılıkla mızraklı kimlik avı tekniklerine güvendi ve kurbanlarını Ukrayna Dünya Kongresi web sitesinin özel olarak hazırlanmış bir kopyasına tıklamaya ikna etti.” geçen hafta.
Dosyanın açılması, uzak bir sunucudan ara yüklerin alınmasını gerektiren karmaşık bir yürütme sırasını tetikler ve bu da Microsoft’un Destek Teşhis Aracını (MSDT) etkileyen, artık yama uygulanmış bir güvenlik kusuru olan Follina’dan (CVE-2022-30190) yararlanır. uzaktan kod yürütme.
İçeriden Gelen Tehditlere Karşı Kalkan: SaaS Güvenlik Duruş Yönetiminde Ustalaşın
İçeriden gelen tehditler konusunda endişeli misiniz? Seni koruduk! SaaS Güvenlik Duruş Yönetimi ile pratik stratejileri ve proaktif güvenliğin sırlarını keşfetmek için bu web seminerine katılın.
Sonuç, güvenliği ihlal edilmiş sistem hakkında bilgi toplamak ve sisteme uzaktan kumanda etmek için tasarlanmış, C++ ile yazılmış bir yürütülebilir dosya olan RomCom RAT’ın devreye alınmasıdır.
BlackBerry, “Yaklaşan NATO Zirvesi’nin niteliğine ve tehdit aktörü tarafından gönderilen ilgili sahte belgelere dayanarak, amaçlanan kurbanlar Ukrayna’nın temsilcileri, yabancı kuruluşlar ve Ukrayna’yı destekleyen kişilerdir.” Dedi.
“Mevcut bilgilere dayanarak, bunun RomCom’un yeniden markalandırılmış bir operasyon olduğu veya yeni bir tehdit grubunu destekleyen bu yeni kampanyanın arkasında RomCom tehdit grubunun bir veya daha fazla üyesinin olduğu sonucuna varmak için orta ila yüksek güvenimiz var.”