Злоумышленники, стоящие за RomCom RAT, подозреваются в фишинговых атаках, направленных на предстоящий саммит НАТО в Вильнюсе, а также на организации, поддерживающие Украину за рубежом. Такие выводы сделала команда BlackBerry Threat Research and Intelligence, когда обнаружили два вредных документа, отправленных с венгерского IP-адреса 4 июля 2023 года.
Злоумышленники, стоящие за RomCom RAT, подозреваются в фишинговых атаках, направленных на предстоящий саммит НАТО в Вильнюсе, а также на организации, поддерживающие Украину за рубежом. Такие выводы сделала команда BlackBerry Threat Research and Intelligence, когда обнаружили два вредных документа, отправленных с венгерского IP-адреса 4 июля 2023 года.
Как пишет The Hacker News, RomCom (также отслеживается под именами Tropical Scorpius, UNC2596 и Void Rabisu) недавно был замечен во время организации кибератак на украинских политиков, тесно сотрудничающих с западными странами и американской медицинской организацией.
Злоумышленники используют фишинговые электронные письма, которые перенаправляются на клонированные вебсайты, где размещены троянизированные версии популярного ПО. Среди пострадавших — военные, поставщики пищевых продуктов и ИТ-компании.
Последние документы-заманухи, которые обнаружила команда BlackBerry, выдают себя за легальную некоммерческую организацию Всемирный Конгресс Украинцев («Overview_of_UWCs_UkraineInNATO_campaign.docx») и содержат фальшивое письмо о поддержке вступления Украины в НАТО («Letter_NATO_Summit_Vilnius_20»).
Как результат — устанавливается файл RomCom RAT, написанный на C++. Он предназначен для сбора информации о системе и удаленном управлении ею.
«Исходя из имеющейся информации, мы заключили: либо это ребрендинг операции RomCom, либо что за этой новой атакой стоит кто-то из группы RomCom», — сообщили в BlackBerry.
