7月4日,黑莓威胁研究和情报团队发现了针对支持乌克兰的海外组织进行的鱼叉式网络钓鱼活动。研究人员发现了两份IP地址为匈牙利提交的诱饵文件,这两份文件都针对即将向乌克兰提供支持的北约峰会参会者。
据悉,黑莓识别的诱饵文件冒充合法的非营利组织乌克兰世界大会(Ukrainian World Congress),文件显示为一封信,声明支持乌克兰政府加入北约联盟。专家们根据战术、技术和程序 (TTP)、代码相似性和攻击基础设施,将这些攻击归因于一个名为 RomCom(又名热带天蝎座和 UNC2596)的黑客组织。北约峰会将于7月11日到12日在维尔纽斯举行,会议期间将讨论未来可能加入乌克兰联盟的成员资格。这些黑客旨在让受害者点击乌克兰世界大会网站的特制复制品。攻击者使用域名仿冒技术用 .info 后缀伪装虚假网站,使其看起来合法。克隆的网站被发现时是属于托管流行软件的武器化版本。
黑莓发布的报告中写道“一旦用户下载并执行Microsoft Word文件,就会从RTF加载一个OLE对象,该对象会连接到与VPN代理服务相关的IP地址104.232.39[.]26,或者连接到端口80、139和445(HTTP和SMB服务)。”此文件的目标是将 OLE 流加载到 Word Microsoft,呈现出负责下一阶段恶意软件执行的 iframe 标记。打开文档后,会触发多阶段攻击链,还会利用漏洞CVE-2022-30190(也称为Follina)影响Microsoft的支持诊断工具(MSDT)。最后阶段的恶意软件是RomCom RAT,运营商使用它来收集那些受损系统的信息并执行远程命令。
根据现有信息,可以得出这是一次RomCom更名活动,或者RomCo黑客组织中的一个或多个成员支持的新的活动的幕后黑手。主要信息包括:1.地缘政治背景
2.合法网站的域名注册和 HTML 抓取
3.此活动与以前已知的 RomCom 活动之间的代码中的某些相似之处
4.网络基础设施信息
转自E安全,原文链接:https://mp.weixin.qq.com/s/s8TuqicvwhfPEPnZnot31Q
封面来源于网络,如有侵权请联系删除
文章来源: https://hackernews.cc/archives/44529
如有侵权请联系:admin#unsafe.sh