RomCom RAT’ın arkasındaki tehdit aktörlerinin, Vilnius’ta yapılacak NATO Zirvesi’ni ve Ukrayna’yı yurtdışında destekleyen tanımlanmış bir kuruluşu hedef alan kimlik avı saldırılarından şüpheleniliyor.
Bulgular, 4 Temmuz 2023’te bir Macar IP adresinden gönderilen iki kötü amaçlı belge bulan BlackBerry Tehdit Araştırma ve İstihbarat ekibinden geliyor.
Tropical Scorpius, UNC2596 ve Void Rabisu adlarıyla da izlenen RomCom’un yakın zamanda Ukrayna’da Batılı ülkelerle yakın çalışan politikacılara ve savaştan zarar görmüş ülkeden kaçan mültecilere yardım etmekle görevli ABD merkezli bir sağlık kuruluşuna karşı siber saldırılar düzenlediği gözlemlendi. .
Grup tarafından oluşturulan saldırı zincirleri, jeopolitik olarak motive edilmiştir ve kurbanları popüler yazılımların truva atı haline getirilmiş sürümlerini barındıran klonlanmış web sitelerine yönlendirmek için hedef odaklı kimlik avı e-postaları kullanmıştır. Hedefler orduları, gıda tedarik zincirlerini ve BT şirketlerini içerir.
BlackBerry tarafından belirlenen en son sahte belgeler, meşru bir kar amacı gütmeyen Ukrayna Dünya Kongresi’nin kimliğine bürünmektedir (“Overview_of_UWCs_UkraineInNATO_campaign.docx”) ve Ukrayna’nın NATO’ya dahil edilmesini desteklediğini beyan eden sahte bir mektup (“Letter_NATO_Summit_Vilnius_2023_ENG(1).docx”) içeriyor.
Kanadalı şirket yayınladığı bir analizde, “İlk bulaşma vektörünü henüz ortaya çıkarmamış olsak da, tehdit aktörü büyük olasılıkla mızraklı kimlik avı tekniklerine güvendi ve kurbanlarını Ukrayna Dünya Kongresi web sitesinin özel olarak hazırlanmış bir kopyasına tıklamaya ikna etti.” geçen hafta.
Dosyanın açılması, uzak bir sunucudan ara yüklerin alınmasını gerektiren karmaşık bir yürütme sırasını tetikler ve bu da Microsoft’un Destek Teşhis Aracını (MSDT) etkileyen, artık yama uygulanmış bir güvenlik kusuru olan Follina’dan (CVE-2022-30190) yararlanır. uzaktan kod yürütme.
🔐 Ayrıcalıklı Erişim Yönetimi: Önemli Zorlukların Üstesinden Gelmeyi Öğrenin
Ayrıcalıklı Hesap Yönetimi (PAM) zorluklarını aşmak ve ayrıcalıklı erişim güvenliği stratejinizi yükseltmek için farklı yaklaşımları keşfedin.
Yerinizi Ayırın
Sonuç, güvenliği ihlal edilmiş sistem hakkında bilgi toplamak ve sisteme uzaktan kumanda etmek için tasarlanmış, C++ ile yazılmış bir yürütülebilir dosya olan RomCom RAT’ın devreye alınmasıdır.
BlackBerry, “Yaklaşan NATO Zirvesi’nin niteliğine ve tehdit aktörü tarafından gönderilen ilgili sahte belgelere dayanarak, amaçlanan kurbanlar Ukrayna’nın temsilcileri, yabancı kuruluşlar ve Ukrayna’yı destekleyen kişilerdir.” Dedi.
“Mevcut bilgilere dayanarak, bunun RomCom’un yeniden markalandırılmış bir operasyon olduğu veya yeni bir tehdit grubunu destekleyen bu yeni kampanyanın arkasında RomCom tehdit grubunun bir veya daha fazla üyesinin olduğu sonucuna varmak için orta ila yüksek güvenimiz var.”