Microsoft, bir kimlik avı kampanyası hakkında uyarıda bulunuyor RomCom olarak bilinen tehdit aktörü Avrupa ve Kuzey Amerika’daki savunma sanayi ve devlet kurumlarını hedef alan.
Saldırılar ayrıca telekom ve finans sektörlerini de hedef aldı.
RomCom, özel hazırlanmış Microsoft Word belgelerini içeren CVE-2023-36884 sıfır günlük bir güvenlik açığını kötüye kullanıyor.
Daha geçen ay bilgisayar korsanları, RomCom ile benzerlikleri olan bir arka kapı sağlamak için sahte bir OneDrive yükleyiciyle bir kimlik avı kampanyası yürüttü. E-postalar, Ukrayna Dünya Kongresi ile ilgili tuzaklar kullanarak Kuzey Amerika ve Avrupa’daki hükümet ve savunma kuruluşlarını hedef aldı.
E-postalar, Litvanya’daki mevcut NATO Zirvesi’ne davet gibi görünüyordu.
BlackBerry’deki araştırmacılar, grubun kullanıcıları hedef alan kötü amaçlı e-postalar gönderdiğini bildirdi. Litvanya’da NATO Zirvesi. Macaristan’daki bir IP adresinden kötü amaçlı belgeler gönderildi.
Microsoft’un Storm-0978 olarak adlandırdığı Rusya merkezli siber suç grubu, fırsatçı fidye yazılımı ve haraç faaliyetinin yanı sıra istihbarat operasyonlarını desteklemek için hedeflenen kimlik bilgisi hırsızlığıyla tanınıyor.
Tehdit aktörü, RomCom arka kapılarını yüklemek için Adobe, Advanced IP Scanner, SolarWinds Network Performance Monitor, SolarWinds Orion, KeePass ve Signal ürünleri dahil olmak üzere popüler yazılımların truva atına dönüştürülmüş sürümlerini kullanıyor.
Hackerlar da kullanıyor Endüstriyel Casus fidye yazılımı mali amaçlı saldırılar sırasında. Bu fidye yazılımı ilk olarak Mayıs 2022’de vahşi doğada keşfedildi.
Microsoft, kuruluşların tüm Office uygulamalarının alt süreçler oluşturmasını engelle.