Le personnel militaire et les dirigeants politiques de l’Union européenne travaillant sur des initiatives en faveur de l’égalité des sexes sont devenus la cible d’une nouvelle campagne proposant une version mise à jour de RomCom RAT intitulée PEAPOD.
La société de cybersécurité Trend Micro a attribué les attaques à un acteur menaçant qu’elle suit sous le nom de Void Rabisu, également connu sous les noms de Storm-0978, Tropical Scorpius et UNC2596, et qui serait également associé au ransomware Cuba.
Le collectif antagoniste est quelque peu inhabituel dans la mesure où il mène à la fois des attaques à motivation financière et des attaques d’espionnage, brouillant ainsi la frontière entre leurs modes opératoires. C’est aussi exclusivement lié à l’utilisation de RomCom RAT.
Les attaques impliquant l’utilisation de portes dérobées ont ciblé l’Ukraine et les pays qui soutiennent l’Ukraine dans sa guerre contre la Russie au cours de l’année écoulée.
Plus tôt en juillet, Microsoft a impliqué Void Rabisu dans l’exploitation de CVE-2023-36884, une faille d’exécution de code à distance dans Office et Windows HTML, en utilisant des leurres de documents Microsoft Office spécialement conçus liés au Congrès mondial ukrainien.
RomCom RAT est capable d’interagir avec un serveur de commande et de contrôle (C&C) pour recevoir des commandes et les exécuter sur la machine de la victime, tout en intégrant également des techniques d’évasion de défense, marquant une évolution constante de sa sophistication.
Le malware est généralement distribué via des e-mails de spear phishing très ciblés et de fausses publicités sur des moteurs de recherche comme Google et Bing pour inciter les utilisateurs à visiter des sites leurres hébergeant des versions trojanisées d’applications légitimes.
« Void Rabisu est l’un des exemples les plus clairs où nous voyons un mélange de tactiques, techniques et procédures (TTP) typiques utilisées par les auteurs de menaces cybercriminelles et de TTP utilisés par des acteurs de menace parrainés par des États-nations et motivés principalement par des objectifs d’espionnage », a déclaré Trend. Micro dit.
La dernière série d’attaques détectées par la société en août 2023 fournit également RomCom RAT, mais il s’agit d’une itération mise à jour et allégée du malware distribué via un site Web appelé wplsummit.[.]com, qui est une réplique du wplsummit légitime[.]domaine de l’organisation.
Le site Web contient un lien vers un dossier Microsoft OneDrive qui héberge un exécutable nommé « Images non publiées 1-20230802T122531-002-sfx.exe », un fichier de 21,6 Mo visant à imiter un dossier contenant des photos des femmes leaders politiques (WPL). ) Sommet qui a eu lieu en juin 2023.
Le binaire est un téléchargeur qui dépose 56 images sur le système cible comme leurre, tout en récupérant un fichier DLL à partir d’un serveur distant. Ces photos auraient été obtenues par l’acteur malveillant à partir de publications individuelles sur diverses plateformes de médias sociaux telles que LinkedIn, X (anciennement Twitter) et Instagram.
Le fichier DLL, pour sa part, établit un contact avec un autre domaine pour récupérer l’artefact PEAPOD de troisième étape, qui prend en charge 10 commandes au total, contre 42 commandes prises en charge par son prédécesseur.
La version révisée est équipée pour exécuter des commandes arbitraires, télécharger et télécharger des fichiers, obtenir des informations système et même se désinstaller de l’hôte compromis. En réduisant le malware aux fonctionnalités les plus essentielles, l’idée est de limiter son empreinte numérique et de compliquer les efforts de détection.
« Bien que nous n’ayons aucune preuve que Void Rabisu soit parrainé par un État-nation, il est possible qu’il s’agisse de l’un des acteurs menaçants du milieu criminel clandestin, motivés par des raisons financières, qui ont été entraînés dans des activités de cyberespionnage en raison des circonstances géopolitiques extraordinaires provoquées par la guerre en Ukraine. « , a déclaré Trend Micro.