Carding 4 Carders
Professional
Военнослужащие Европейского Союза и политические лидеры, работающие над инициативами по обеспечению гендерного равенства, стали мишенью новой кампании, которая представляет обновленную версию RomCom RAT под названием PEAPOD.
Компания по кибербезопасности Trend Micro приписала атаки злоумышленнику, которого она отслеживает под именем Void Rabisu, который также известен как Storm-0978, Tropical Scorpius и UNC2596, а также, как полагают, связан с программой-вымогателем Cuba.
"Состязательный коллектив" является чем-то необычным в том смысле, что он проводит как финансово мотивированные, так и шпионские атаки, стирая грань между способами их работы. Это также связано исключительно с использованием RomCom RAT.
Атаки, связанные с использованием бэкдора, в прошлом году были направлены против Украины и стран, которые поддерживают Украину в ее войне против России.
Ранее в июле этого года Microsoft обвинила Void Rabisu в использовании CVE-2023-36884, ошибки удаленного выполнения кода в Office и Windows HTML, используя специально созданные приманки для документов Microsoft Office, связанные со Всемирным конгрессом украинцев.
RomCom RAT способен взаимодействовать с сервером командования и контроля (C & C), получать команды и выполнять их на компьютере жертвы, а также использовать методы уклонения от защиты, что свидетельствует о неуклонной эволюции их сложности.
Вредоносное ПО обычно распространяется через высоконаправленные фишинговые электронные письма и поддельную рекламу в поисковых системах, таких как Google и Bing, чтобы заставить пользователей посещать сайты-приманки, на которых размещены троянские версии законных приложений.
"Void Rabisu - один из самых ярких примеров, когда мы видим сочетание типичной тактики, методов и процедур (TTP), используемых киберпреступниками, и TTP, используемых субъектами угроз, спонсируемыми национальными государствами, мотивированными в первую очередь шпионскими целями", - заявили в Trend Micro.
Последняя серия атак, обнаруженных компанией в августе 2023 года, также распространяет RomCom RAT, только это обновленная и урезанная версия вредоносного ПО, распространяемого через веб-сайт под названием wplsummit [.]com, который является точной копией законного домена wplsummit[.]org.
На веб-сайте присутствует ссылка на папку Microsoft OneDrive, в которой находится исполняемый файл с именем "Неопубликованные фотографии 1-20230802T122531-002-sfx.exe "файл размером 21,6 МБ, который призван имитировать папку, содержащую фотографии с саммита женщин-политических лидеров (WPL), состоявшегося в июне 2023 года.
Бинарный файл - это загрузчик, который сбрасывает 56 фотографий в целевую систему в качестве приманки, одновременно извлекая DLL-файл с удаленного сервера. Сообщается, что эти фотографии были получены злоумышленником из отдельных постов на различных платформах социальных сетей, таких как LinkedIn, X (ранее известная как Twitter) и Instagram.
Файл DLL, со своей стороны, устанавливает контакт с другим доменом для получения артефакта PEAPOD третьего уровня, который поддерживает в общей сложности 10 команд, по сравнению с 42 командами, поддерживаемыми его предшественником.
Обновленная версия оснащена оборудованием для выполнения произвольных команд, загрузки файлов, получения системной информации и даже самоустранения с взломанного хостинга. Идея состоит в том, чтобы ограничить влияние вредоносного ПО в цифровой среде и усложнить усилия по обнаружению.
"Хотя у нас нет доказательств того, что Void Rabisu спонсируется национальным государством, вполне возможно, что это один из финансово мотивированных участников криминального подполья, который был вовлечен в кибершпионаж из-за чрезвычайных геополитических обстоятельств, вызванных войной в Украине", - заявили в Trend Micro.
Компания по кибербезопасности Trend Micro приписала атаки злоумышленнику, которого она отслеживает под именем Void Rabisu, который также известен как Storm-0978, Tropical Scorpius и UNC2596, а также, как полагают, связан с программой-вымогателем Cuba.
"Состязательный коллектив" является чем-то необычным в том смысле, что он проводит как финансово мотивированные, так и шпионские атаки, стирая грань между способами их работы. Это также связано исключительно с использованием RomCom RAT.
Атаки, связанные с использованием бэкдора, в прошлом году были направлены против Украины и стран, которые поддерживают Украину в ее войне против России.
Ранее в июле этого года Microsoft обвинила Void Rabisu в использовании CVE-2023-36884, ошибки удаленного выполнения кода в Office и Windows HTML, используя специально созданные приманки для документов Microsoft Office, связанные со Всемирным конгрессом украинцев.
RomCom RAT способен взаимодействовать с сервером командования и контроля (C & C), получать команды и выполнять их на компьютере жертвы, а также использовать методы уклонения от защиты, что свидетельствует о неуклонной эволюции их сложности.
Вредоносное ПО обычно распространяется через высоконаправленные фишинговые электронные письма и поддельную рекламу в поисковых системах, таких как Google и Bing, чтобы заставить пользователей посещать сайты-приманки, на которых размещены троянские версии законных приложений.
"Void Rabisu - один из самых ярких примеров, когда мы видим сочетание типичной тактики, методов и процедур (TTP), используемых киберпреступниками, и TTP, используемых субъектами угроз, спонсируемыми национальными государствами, мотивированными в первую очередь шпионскими целями", - заявили в Trend Micro.
Последняя серия атак, обнаруженных компанией в августе 2023 года, также распространяет RomCom RAT, только это обновленная и урезанная версия вредоносного ПО, распространяемого через веб-сайт под названием wplsummit [.]com, который является точной копией законного домена wplsummit[.]org.
На веб-сайте присутствует ссылка на папку Microsoft OneDrive, в которой находится исполняемый файл с именем "Неопубликованные фотографии 1-20230802T122531-002-sfx.exe "файл размером 21,6 МБ, который призван имитировать папку, содержащую фотографии с саммита женщин-политических лидеров (WPL), состоявшегося в июне 2023 года.
Бинарный файл - это загрузчик, который сбрасывает 56 фотографий в целевую систему в качестве приманки, одновременно извлекая DLL-файл с удаленного сервера. Сообщается, что эти фотографии были получены злоумышленником из отдельных постов на различных платформах социальных сетей, таких как LinkedIn, X (ранее известная как Twitter) и Instagram.
Файл DLL, со своей стороны, устанавливает контакт с другим доменом для получения артефакта PEAPOD третьего уровня, который поддерживает в общей сложности 10 команд, по сравнению с 42 командами, поддерживаемыми его предшественником.
Обновленная версия оснащена оборудованием для выполнения произвольных команд, загрузки файлов, получения системной информации и даже самоустранения с взломанного хостинга. Идея состоит в том, чтобы ограничить влияние вредоносного ПО в цифровой среде и усложнить усилия по обнаружению.
"Хотя у нас нет доказательств того, что Void Rabisu спонсируется национальным государством, вполне возможно, что это один из финансово мотивированных участников криминального подполья, который был вовлечен в кибершпионаж из-за чрезвычайных геополитических обстоятельств, вызванных войной в Украине", - заявили в Trend Micro.
