Зловмисників, які стоять за RomCom RAT, підозрюють у фішингових атаках, що спрямовані на майбутній саміт НАТО у Вільнюсі, а також на організації, які підтримують Україну за кордоном. Такі висновки зробила команда BlackBerry Threat Research and Intelligence, коли виявила два шкідливих документа, надіслані з угорської IP-адреси 4 липня 2023 року.
Зловмисників, які стоять за RomCom RAT, підозрюють у фішингових атаках, що спрямовані на майбутній саміт НАТО у Вільнюсі, а також на організації, які підтримують Україну за кордоном. Такі висновки зробила команда BlackBerry Threat Research and Intelligence, коли виявила два шкідливих документа, надіслані з угорської IP-адреси 4 липня 2023 року.
Як пише The Hacker News, що RomCom (також відстежується під іменами Tropical Scorpius, UNC2596 і Void Rabisu) нещодавно був помічений під час організації кібератак на українських політиків, які тісно співпрацюють з західними країнами та американською медичною організацією.
Зловмисники використовують фішингові електронні листи, які перенаправляють на клоновані вебсайти, де розміщені троянізовані версії популярного ПЗ. Серед постраждалих — військові, постачальники харчових продуктів та ІТ-компанії.
Останні документи-заманухи, які виявила команда BlackBerry, видають себе за легальну неприбуткову організацію Світовий Конґрес Українців («Overview_of_UWCs_UkraineInNATO_campaign.docx») і містять фальшивий лист про підтримку вступу України до НАТО («Letter_NATO_Summit_Vilnius_2023_ENG (1).docx»).
Як результат — встановлюється файл RomCom RAT, який написаний на C++. Він призначений для збору інформації про систему та віддаленого керування нею.
«Виходячи з наявної інформації, ми зробили висновок: або це ребрендинг операції RomCom, або що за цією новою атакою стоїть хтось з групи RomCom», — повідомили в BlackBerry.
