Ένας απειλητικός παράγοντας που αναφέρεται ως “RomCom” έχει βάλει στο στόχαστρο οργανώσεις που υποστηρίζουν την Ουκρανία και προσκεκλημένους της επερχόμενης Συνόδου Κορυφής του ΝΑΤΟ, η οποία θα ξεκινήσει σήμερα στο Βίλνιους της Λιθουανίας.
Η ομάδα έρευνας και πληροφοριών της BlackBerry ανακάλυψε πρόσφατα δύο κακόβουλα έγγραφα που παρίσταναν την οργάνωση του Παγκόσμιου Συνεδρίου της Ουκρανίας και θέματα σχετικά με τη Σύνοδο Κορυφής του ΝΑΤΟ, προκειμένου να προσελκύσουν επιλεγμένους στόχους.
Οι επιτιθέμενοι χρησιμοποίησαν ένα αντίγραφο του ιστότοπου του Παγκόσμιου Συνεδρίου της Ουκρανίας που φιλοξενείται σε ένα domain “.info” αντί για τον πραγματικό, ο οποίος χρησιμοποιεί έναν domain ανωτάτου επιπέδου “.org”.
Τα έγγραφα που έχουν ληφθεί περιέχουν κακόβουλο κώδικα που εκμεταλλεύεται τη μορφή αρχείου RTF για να ξεκινήσει συνδέσεις με εξωτερικούς πόρους, φορτώνοντας τελικά κακόβουλο λογισμικό στο σύστημα του θύματος.
Δείτε επίσης: Ο αριθμός των phishing επιθέσεων μέσω email αυξήθηκε κατά 464%
Θολό φόντο RomCom
Τον Αύγουστο του 2022, η Unit 42 ανακάλυψε για πρώτη φορά το RomCom malware και το συνέδεσε με ένα affiliate του Cuba Ransomware. Η Ομάδα Αντιμετώπισης Εκτάκτων Αναγκών Υπολογιστών της Ουκρανίας (CERT-UA) φάνηκε να συμφωνεί με αυτή την εκτίμηση με βάση την έκθεσή της τον Οκτώβριο του 2022.
Ωστόσο, η ανάλυση της BlackBerry από εκείνη την εποχή ανέφερε ότι οι απειλητικοί φορείς πίσω από το RomCom ακολουθούν μια μάλλον παγκοσμιοποιημένη προσέγγιση στόχευσης, τονίζοντας ότι το ransomware Cuba δεν είχε ποτέ κλίση προς τον χακτιβισμό.
Τον Νοέμβριο του 2022, η εταιρεία κυβερνοασφάλειας ανακάλυψε μια νέα εκστρατεία του RomCom που καταχράστηκε software brands και χρησιμοποίησε ψεύτικους ιστότοπους στα αγγλικά και τα ουκρανικά για να στοχεύσει ανυποψίαστα θύματα με κακόβουλους installers.
Πιο πρόσφατα, τον Μάιο του 2023, μια έκθεση της Trend Micro σχετικά με την τελευταία εκστρατεία της RomCom έδειξε ότι οι απειλητικοί φορείς υποδύονταν πλέον νόμιμο λογισμικό όπως το Gimp και το ChatGPT ή δημιουργούσαν ψεύτικους ιστότοπους προγραμματιστών λογισμικού για να προωθήσουν το backdoor τους στα θύματα μέσω διαφημίσεων Google και τεχνικών black SEO.
Δείτε επίσης: Οι υποθέσεις κυβερνοεκβιασμών αυξάνονται συνεχώς
Τελευταίες λεπτομέρειες καμπάνιας
Η τελευταία καμπάνια που ανέλυσε η BlackBerry χρησιμοποιεί συνδέσμους λήψης σε ένα domain με τυπογραφικά λάθη για τον ιστότοπο του Παγκόσμιου Συνεδρίου της Ουκρανίας, ο οποίος πιθανότατα προωθήθηκε μέσω spear-phishing, για να μολύνει τους επισκέπτες με κακόβουλο λογισμικό.
Τα έγγραφα που λαμβάνονται από τον ψεύτικο ιστότοπο ξεκινούν μια εξερχόμενη σύνδεση κατά την εκκίνηση και κατεβάζουν πρόσθετα components από τον command and control (C2) server του επιτιθέμενου.
Το πρόσθετο component που παρατηρήθηκε κατά τη διάρκεια της έρευνας ήταν ένα script που χρησιμοποιεί την ευπάθεια Follina (CVE-2022-30190) από το Διαγνωστικό Εργαλείο Υποστήριξης της Microsoft (MSDT).
Το τελευταίο βήμα της επίθεσης είναι η φόρτωση του backdoor RomCom στο μηχάνημα, η οποία φτάνει με τη μορφή ενός αρχείου DLL x64 με το όνομα «Calc.exe».
Το RomCom συνδέεται με το C2 για να καταχωρήσει το θύμα και στέλνει πίσω λεπτομέρειες όπως το όνομα χρήστη, τις πληροφορίες του προσαρμογέα δικτύου και το μέγεθος της μνήμης RAM του υπολογιστή που έχει παραβιαστεί.
Το backdoor τελικά γράφει το αρχείο “security.dll” για να εκτελείται αυτόματα κατά την επανεκκίνηση για να διατηρείται και περιμένει εντολές από το C2. Με βάση προηγούμενες αναφορές, οι εντολές αυτές περιλαμβάνουν το data exfiltration, τη λήψη πρόσθετων ωφέλιμων φορτίων, τη διαγραφή αρχείων ή καταλόγων, τη δημιουργία διεργασιών με πλαστά PID, καθώς και την εκκίνηση ενός reverse shell.
Δείτε επίσης: Mario Kart και κάμερες Resident Evil: Ο απόλυτος τρόμος
Η BlackBerry πιστεύει ότι η εκστρατεία που αναλύθηκε είναι είτε μια επιχείρηση της RomCom με νέα ονομασία είτε μια επιχείρηση που περιλαμβάνει βασικά μέλη της παλιάς ομάδας που υποστηρίζουν τη νέα απειλητική δραστηριότητα.
Η έκθεση των ερευνητών περιλαμβάνει indicators of compromise για τα έγγραφα δελεασμού, το κακόβουλο λογισμικό δεύτερου σταδίου, τις διευθύνσεις IP και τα domain που χρησιμοποιήθηκαν για την εκστρατεία.
Πηγή πληροφοριών: bleepingcomputer.com
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/472990/romcom-stoxevei-tous-simmetexontes-stin-sinelefsi-toy-nato/&media=https://www.secnews.gr/wp-content/uploads/2023/04/system-hacked.jpg&description=Ένας απειλητικός παράγοντας που αναφέρεται ως "RomCom" έχει βάλει στο στόχαστρο οργανώσεις που υποστηρίζουν την Ουκρανία και...){kind=link}