Ott 17, 2023 Apt, Attacchi, Hacking, Minacce, News, Phishing, RSS

I ricercatori di TrendMicro hanno individuato un nuovo attacco da parte di Void Rabisu, un gruppo di cybercriminali che nel corso del 2023 ha colpito organizzazioni militari e politiche ucraine e istituzioni dell’Unione Europea. L’ultima campagna ha preso di mira il Women Political Leaders (WPL) Summit, la conferenza che mira a promuovere l’uguaglianza di genere in politica.

Il gruppo ha creato un sito web falso che replicava il portale ufficiale del WPL Summit per ingannare le vittime. La home page proponeva agli utenti un pulsante per scaricare video e foto dell’evento che rimandava una cartella OneDrive con due file compressi e un eseguibile; quest’ultimo era un malware che, se eseguito, si presentava come un archivio autoestraente che salvava le foto dell’evento in una cartella specifica.

Mentre l’utente era distratto dalle foto dei partecipanti, prese dai cybercriminali su LinkedIn, X e Instagram, il malware inviava una richiesta HTTP per scaricare un payload malevolo e installare nuovo malware sul dispositivo target. Il malware in questione è ROMCOM, una backdoor in grado di ottenere le informazioni del sistema colpito e inviarle al server C2 controllato dagli attaccanti.

Void Rabisu ha utilizzato una nuova versione di ROMCOM chiamata PEAPOD, più leggera rispetto alle precedenti. PEAPOD usa solo 10 comandi, a differenza di quella subito prima, la versione 3.0, che ne usava 42. La nuova versione è in grado di scaricare nuovi payload sul dispositivo della vittima, anche relativi anche a ROMCOM 3.0 nel caso di attacchi più sofisticati.

La nuova versione del malware è di recente sviluppo, ciò significa che il gruppo sta attivamente migliorando la backdoor per colpire nuovi obiettivi ed eludere i controlli di sicurezza.

Non è ancora chiaro chi si celi dietro il gruppo e se esso agisca per conto di un ente governativo, ma a giudicare dai target è quasi certo che Void Rabisu si occupi di cyberspionaggio politico per le istituzioni.

Oltre al WPL Summit, il gruppo ha colpito anche la Munich Security Conference e la Masters of Digital Conference. È molto probabile che Void Rabisu continuerà a prendere di mira i partecipanti e gli interessati a questo tipo di eventi.

• APT, backdoor, Phishing, ROMCOM, Void Rabisu, WPL summit