Cinsiyet eşitliği girişimleri üzerinde çalışan Avrupa Birliği askeri personeli ve siyasi liderler, RomCom RAT’ın güncellenmiş bir versiyonunu sunan yeni bir kampanyanın hedefi olarak ortaya çıktı. BEZELYE TANESİ.
Siber güvenlik firması Trend Micro, saldırıları Void Rabisu adı altında takip ettiği, Storm-0978, Tropical Scorpius ve UNC2596 olarak da bilinen ve aynı zamanda Küba fidye yazılımıyla ilişkili olduğuna inanılan bir tehdit aktörüne bağladı.
Düşman kolektifi, hem finansal amaçlı hem de casusluk saldırıları düzenlemesi ve çalışma tarzları arasındaki çizgiyi bulanıklaştırması nedeniyle alışılmadık bir gruptur. Ayrıca yalnızca RomCom RAT’ın kullanımıyla da bağlantılıdır.
Arka kapının kullanılmasını içeren saldırılar, geçtiğimiz yıl Ukrayna’yı ve Rusya’ya karşı savaşında Ukrayna’yı destekleyen ülkeleri hedef aldı.
Bu Temmuz ayının başlarında Microsoft, Void Rabisu’nun, Ukrayna Dünya Kongresi ile ilgili özel hazırlanmış Microsoft Office belge yemlerini kullanarak Office ve Windows HTML’deki bir uzaktan kod yürütme kusuru olan CVE-2023-36884’ün istismarına karıştığını ortaya çıkardı.
RomCom RAT, komutları almak ve bunları kurbanın makinesinde yürütmek için bir komuta ve kontrol (C&C) sunucusuyla etkileşime girme yeteneğine sahipken aynı zamanda savunmadan kaçınma tekniklerini de paketleyerek gelişmişliğinde istikrarlı bir evrime işaret ediyor.
Kötü amaçlı yazılım, kullanıcıları meşru uygulamaların truva atı haline getirilmiş sürümlerini barındıran cazip siteleri ziyaret etmeleri için kandırmak amacıyla genellikle yüksek düzeyde hedeflenmiş hedef odaklı kimlik avı e-postaları ve Google ve Bing gibi arama motorlarındaki sahte reklamlar aracılığıyla dağıtılır.
“Void Rabisu, siber suçlu tehdit aktörleri tarafından kullanılan tipik taktikler, teknikler ve prosedürlerin (TTP’ler) ve öncelikle casusluk hedefleri doğrultusunda motive edilen ulus devlet destekli tehdit aktörleri tarafından kullanılan TTP’lerin bir karışımını gördüğümüz en açık örneklerden biridir.” Trend Mikro söz konusu.
Şirket tarafından Ağustos 2023’te tespit edilen en son saldırı seti de RomCom RAT sağlıyor; yalnızca bu, wplsummit adlı bir web sitesi aracılığıyla dağıtılan kötü amaçlı yazılımın güncellenmiş ve zayıflatılmış bir versiyonudur.[.]meşru wplsummit’in bir kopyası olan com[.]org alanı.
Web sitesinde, Kadın Siyasi Liderlerin (WPL) fotoğraflarını içeren bir klasörü taklit etmeyi amaçlayan 21,6 MB’lık bir dosya olan “Yayınlanmamış Resimler 1-20230802T122531-002-sfx.exe” adlı yürütülebilir dosyayı barındıran bir Microsoft OneDrive klasörüne bir bağlantı bulunmaktadır. ) Haziran 2023’te gerçekleşen zirve.
İkili dosya, uzak bir sunucudan bir DLL dosyası alırken hedef sisteme yem olarak 56 resim bırakan bir indiricidir. Bu fotoğrafların kötü niyetli aktör tarafından LinkedIn, X (eski adıyla Twitter) ve Instagram gibi çeşitli sosyal medya platformlarındaki bireysel gönderilerden elde edildiği söyleniyor.
DLL dosyası, önceki sürümde desteklenen 42 komuttan daha az olan toplamda 10 komutu destekleyen üçüncü aşama PEAPOD yapıtını getirmek için başka bir etki alanıyla bağlantı kurar.
Gözden geçirilmiş sürüm, rastgele komutları çalıştıracak, dosyaları indirip yükleyecek, sistem bilgilerini alacak ve hatta tehlikeye atılan ana bilgisayardan kendisini kaldıracak şekilde donatılmıştır. Kötü amaçlı yazılımın en temel özelliklerine indirgenmesinin amacı, dijital ayak izini sınırlamak ve algılama çabalarını karmaşık hale getirmektir.
“Void Rabisu’nun ulus-devlet destekli olduğuna dair hiçbir kanıtımız olmasa da, Ukrayna’daki savaşın neden olduğu olağanüstü jeopolitik koşullar nedeniyle siber casusluk faaliyetlerine çekilen yeraltı suç örgütünün mali motivasyonlu tehdit aktörlerinden biri olması mümkün” ” dedi Trend Micro.
