RomCom visa participantes da Cúpula da Otan com phishing

Views: 179
0 0
Read Time:3 Minute, 1 Second

Grupo de hackers tem como alvo organizações que apoiam a Ucrânia e convidados da próxima Cúpula da Otan marcada para começar nesta terça-feira, 11, na Lituânia

Um grupo de hackers conhecido como RomCom tem como alvo organizações que apoiam a Ucrânia e convidados da próxima Cúpula da Otan marcada para começar nesta terça-feira, 11, em Vilnius, na Lituânia.

A equipe de pesquisa e inteligência da BlackBerry descobriu recentemente dois documentos maliciosos que se faziam passar pela organização do Congresso Mundial Ucraniano e tópicos relacionados à Cúpula da Otan para atrair alvos selecionados. Os invasores usaram uma réplica do site do Congresso Mundial Ucraniano hospedado em um domínio “.info” em vez do real que usa um domínio de nível superior “.org”.

Os documentos baixados vêm com código malicioso que explora o formato de arquivo RTF para iniciar conexões com recursos externos, eventualmente carregando malware no sistema da vítima.

O malware RomCom foi descoberto pela Unit 42 em agosto do ano passado, que o vinculou a uma afiliada do ransomware Cuba, uma avaliação com a qual a Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) parecia concordar com base em um relatório de outubro de 2022.

No entanto, a análise da BlackBerry daquela época dizia que os operadores por trás do RomCom seguem uma abordagem de segmentação bastante globalizada, destacando que o ransomware Cuba nunca se inclinou para o hacktivismo.

Em novembro do ano passado, a empresa de segurança cibernética descobriu uma nova campanha do RomCom que explorava marcas de software e usava sites falsos em inglês e ucraniano para atingir vítimas inocentes com instaladores maliciosos.

Mais recentemente, em maio, um relatório da Trend Micro sobre a última campanha do RomCom mostrou que os operadores da ameaça agora estavam se passando por software legítimo como Gimp e ChatGPT ou criando sites falsos de desenvolvedores de software para empurrar sua backdoor para as vítimas por meio de anúncios do Google e técnicas negras de SEO.

A última campanha analisada pela BlackBerry usa links de download em um domínio com erros de digitação para o site do Congresso Mundial Ucraniano, provavelmente promovido por spear phishing, para infectar os visitantes com malware.

Os documentos baixados do site falso iniciam uma conexão de saída na inicialização e baixam componentes adicionais do servidor de comando e controle (C&C) do invasor. O componente adicional observado durante a pesquisa é um script que utiliza a vulnerabilidade Follina (CVE-2022-30190) da ferramenta de diagnóstico de suporte MSDT da Microsoft.

“Se explorado com sucesso, ele permite que um invasor conduza um ataque baseado em execução remota de código (RCE) por meio da criação de um documento .docx ou .rtf malicioso projetado para explorar a vulnerabilidade”, explica o relatório. “Isso é obtido aproveitando o documento especialmente criado para executar uma versão vulnerável do MSDT, que por sua vez permite que um invasor passe um comando para o utilitário para execução”, acrescentou o relatório.

A etapa final do ataque é carregar a backdoor RomCom na máquina, que chega na forma de um arquivo x64 DLL chamado ‘Calc.exe’. O RomCom se conecta ao servidor C&C para registrar a vítima e envia de volta detalhes como nome de usuário, informações do adaptador de rede e tamanho da RAM do computador comprometido.

A BlackBerry acredita que a campanha analisada é uma operação RomCom renomeada ou que inclui membros centrais do antigo grupo que oferecem suporte a novas atividades de ameaças. O relatório dos pesquisadores inclui indicadores de comprometimento para os documentos de atração, malware de segundo estágio e endereços IP e domínio usados para a campanha.

FONTE: CISO ADVISOR

POSTS RELACIONADOS