Les acteurs de la menace derrière le RomCom RAT ont été soupçonnés d’attaques de phishing ciblant le prochain sommet de l’OTAN à Vilnius ainsi qu’une organisation identifiée soutenant l’Ukraine à l’étranger.
Les conclusions proviennent de l’équipe BlackBerry Threat Research and Intelligence, qui trouvé deux documents malveillants soumis depuis une adresse IP hongroise le 4 juillet 2023.
RomCom, également suivi sous les noms de Tropical Scorpius, UNC2596 et Void Rabisu, a récemment été observé en train de mettre en scène des cyberattaques contre des politiciens en Ukraine qui travaillent en étroite collaboration avec des pays occidentaux et une organisation de soins de santé basée aux États-Unis impliquée dans l’aide aux réfugiés fuyant le pays déchiré par la guerre. .
Les chaînes d’attaque montées par le groupe sont géopolitiquement motivées et ont utilisé des e-mails de harponnage pour diriger les victimes vers des sites Web clonés hébergeant des versions trojanisées de logiciels populaires. Les cibles comprennent les militaires, les chaînes d’approvisionnement alimentaire et les entreprises informatiques.
Les derniers documents de leurre identifiés par BlackBerry se font passer pour le Congrès mondial ukrainien, une organisation à but non lucratif légitime (« Overview_of_UWCs_UkraineInNATO_campaign.docx« ) et comportent une fausse lettre déclarant soutenir l’adhésion de l’Ukraine à l’OTAN (« Letter_NATO_Summit_Vilnius_2023_ENG(1).docx« ).
« Bien que nous n’ayons pas encore découvert le vecteur d’infection initial, l’acteur de la menace s’est probablement appuyé sur des techniques de harponnage, engageant ses victimes à cliquer sur une réplique spécialement conçue du site Web du Congrès mondial ukrainien », a déclaré la société canadienne dans une analyse publiée. la semaine dernière.
L’ouverture du fichier déclenche une séquence d’exécution sophistiquée qui implique la récupération de charges utiles intermédiaires à partir d’un serveur distant, qui, à son tour, exploite Follina (CVE-2022-30190), une faille de sécurité désormais corrigée affectant l’outil de diagnostic de support (MSDT) de Microsoft, pour atteindre exécution de code à distance.
🔐 PAM Security – Des solutions expertes pour sécuriser vos comptes sensibles
Ce webinaire dirigé par des experts vous fournira les connaissances et les stratégies dont vous avez besoin pour transformer votre stratégie de sécurité des accès privilégiés.
Le résultat est le déploiement de RomCom RAT, un exécutable écrit en C++ conçu pour collecter des informations sur le système compromis et le réquisitionner à distance.
« Sur la base de la nature du prochain sommet de l’OTAN et des documents de leurre associés envoyés par l’acteur de la menace, les victimes visées sont des représentants de l’Ukraine, des organisations étrangères et des personnes soutenant l’Ukraine », a déclaré BlackBerry.
« Sur la base des informations disponibles, nous avons une confiance moyenne à élevée pour conclure qu’il s’agit d’une opération renommée RomCom, ou qu’un ou plusieurs membres du groupe de menace RomCom sont derrière cette nouvelle campagne soutenant un nouveau groupe de menace. »