Los actores de amenazas detrás de RomCom RAT han sido sospechosos de ataques de phishing dirigidos a la próxima Cumbre de la OTAN en Vilnius, así como una organización identificada que apoya a Ucrania en el extranjero.
Los hallazgos provienen del equipo de BlackBerry Threat Research and Intelligence, que encontró dos documentos maliciosos enviados desde una dirección IP húngara el 4 de julio de 2023.
RomCom, también rastreado con los nombres Tropical Scorpius, UNC2596 y Void Rabisu, fue observado recientemente realizando ataques cibernéticos contra políticos en Ucrania que trabajan en estrecha colaboración con países occidentales y una organización de atención médica con sede en EE. UU. involucrada en ayudar a los refugiados que huyen del país devastado por la guerra. .
Las cadenas de ataque montadas por el grupo tienen motivaciones geopolíticas y han empleado correos electrónicos de phishing para dirigir a las víctimas a sitios web clonados que alojan versiones troyanizadas de software popular. Los objetivos incluyen militares, cadenas de suministro de alimentos y empresas de TI.
Los últimos documentos de señuelo identificados por BlackBerry se hacen pasar por el Congreso Mundial de Ucrania, una organización legítima sin fines de lucro («Overview_of_UWCs_UkraineInNATO_campaign.docx«) y presenta una carta falsa que declara su apoyo a la inclusión de Ucrania en la OTAN («Carta_NATO_Summit_Vilnius_2023_ENG(1).docx«).
«Aunque aún no hemos descubierto el vector de infección inicial, es probable que el actor de la amenaza se haya basado en técnicas de phishing dirigido, invitando a sus víctimas a hacer clic en una réplica especialmente diseñada del sitio web del Congreso Mundial de Ucrania», dijo la compañía canadiense en un análisis publicado. la semana pasada.
Al abrir el archivo, se desencadena una secuencia de ejecución sofisticada que implica la recuperación de cargas útiles intermedias de un servidor remoto que, a su vez, explota Follina (CVE-2022-30190), una falla de seguridad ahora parcheada que afecta a la Herramienta de diagnóstico de soporte (MSDT) de Microsoft, para lograr ejecución remota de código.
🔐 Seguridad PAM: soluciones expertas para proteger sus cuentas confidenciales
Este seminario web dirigido por expertos lo equipará con el conocimiento y las estrategias que necesita para transformar su estrategia de seguridad de acceso privilegiado.
El resultado es la implementación de RomCom RAT, un ejecutable escrito en C++ que está diseñado para recopilar información sobre el sistema comprometido y controlarlo de forma remota.
“Según la naturaleza de la próxima Cumbre de la OTAN y los documentos de señuelo relacionados enviados por el actor de amenazas, las víctimas previstas son representantes de Ucrania, organizaciones extranjeras e individuos que apoyan a Ucrania”, dijo BlackBerry.
«Basándonos en la información disponible, tenemos un nivel de confianza entre medio y alto para concluir que se trata de una operación con el nuevo nombre de RomCom, o que uno o más miembros del grupo de amenazas de RomCom están detrás de esta nueva campaña que apoya a un nuevo grupo de amenazas».