7月4日,黑莓威脅研究和情報團隊發現了針對支持烏克蘭的海外組織進行的魚叉式網絡釣魚活動。研究人員發現了兩份IP地址為匈牙利提交的誘餌文件,這兩份文件都針對即將向烏克蘭提供支持的北約峰會參會者。

   據悉,黑莓識別的誘餌文件冒充合法的非營利組織烏克蘭世界大會(Ukrainian World Congress),文件顯示為一封信,聲明支持烏克蘭政府加入北約聯盟。專家們根據戰術、技術和程序 (TTP)、代碼相似性和攻擊基礎設施,將這些攻擊歸因于一個名為 RomCom(又名熱帶天蝎座和 UNC2596)的黑客組織。

   北約峰會將于7月11日到12日在維爾紐斯舉行,會議期間將討論未來可能加入烏克蘭聯盟的成員資格。這些黑客旨在讓受害者點擊烏克蘭世界大會網站的特制復制品。攻擊者使用域名仿冒技術用 .info 后綴偽裝虛假網站,使其看起來合法。克隆的網站被發現時是屬于托管流行軟件的武器化版本。

   黑莓發布的報告中寫道“一旦用戶下載并執行Microsoft Word文件,就會從RTF加載一個OLE對象,該對象會連接到與VPN代理服務相關的IP地址104.232.39[.]26,或者連接到端口80、139和445(HTTP和SMB服務)。”

   此文件的目標是將 OLE 流加載到 Word Microsoft,呈現出負責下一階段惡意軟件執行的 iframe 標記。打開文檔后,會觸發多階段攻擊鏈,還會利用漏洞CVE-2022-30190(也稱為Follina)影響Microsoft的支持診斷工具(MSDT)。最后階段的惡意軟件是RomCom RAT,運營商使用它來收集那些受損系統的信息并執行遠程命令。

   根據現有信息,可以得出這是一次RomCom更名活動,或者RomCo黑客組織中的一個或多個成員支持的新的活動的幕后黑手。主要信息包括:

1.地緣政治背景

2.合法網站的域名注冊和 HTML 抓取

3.此活動與以前已知的 RomCom 活動之間的代碼中的某些相似之處

4.網絡基礎設施信息

黑客
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接