Украинская группа быстрого реагирования на компьютерные инциденты (CERT-UA) предупреждает о возможных атаках операторов Cuba на украинскую критическую инфраструктуру. 21 октября 2022 года CERT-UA Украины раскрыла фишинговую кампанию, в ходе которой злоумышленники в электронных письмах выдавали себя за пресс-службу Генерального штаба Вооруженных сил Украины. Фишинговые письма содержали ссылку на веб-сайт, который автоматически запускал загрузку документа под названием «Наказ_309.pdf».
Этот веб-сайт был сделан таким образом, чтобы заставить читающего обновить ПО (PDF Reader). И если жертва все же ведется и нажимает на кнопку “СКАЧАТЬ”, то на ее компьютер будет загружен exe-файл под именем «AcroRdrDCx642200120169_uk_UA.exe».
Запуск исполняемого файла приведет к декодированию и запуску DLL-файла «rmtpak.dll», который является трояном удаленного доступа (RAT) под названием ROMCOM. Этот вредонос связывается с C&C-серверами через запросы ICMP, выполняемые через функции Windows API. Кроме того, ROMCOM RAT поддерживает десять основных команд:
Получить информацию о подключенном диске;
Получить списки файлов для указанного каталога;
Запустить реверс-шелл svchelper.exe в папке %ProgramData%;
Загрузить данные на управляющий сервер в виде файла ZIP, используя IShellDispatch для копирования файлов;
Скачать данные и записать в worker.txt в папке %ProgramData%;
Удалить указанный файл;
Удалить указанный каталог;
Создать процесс с подменой PID;
Обрабатывать только ServiceMain,полученный от управляющего сервера и «спать» в на протяжении 120 000 мс;
Выполнить обход запущенных процессов и собрать их ID.
Напомним, ранее этот троян удаленного доступа использовала группировка Tropical Scorpius (она же UNC2596), отслеживаемая CERT-UA под идентификатором UAC-0132 и распространяющая вредоносное ПО от Cuba.
В предупреждении CERT-UA сказано: “Учитывая использование бэкдора RomCom, а также другие особенности связанных файлов, мы считаем возможным связать обнаруженную активность с деятельностью группировки Tropical Scorpius (она же UNC2596), ответственной за распространение вымогательского ПО от Cuba”.
С полным текстом предупреждения и идентификаторами компрометации вы можете ознакомиться здесь .
Источник: SecurityLab