Um ator de ameaças referido como 'RomCom' vem mirando organizações que apoiam a Ucrânia e convidados da próxima Cúpula da OTAN que começa amanhã em Vilnius, Lituânia.
A equipe de pesquisa e inteligência da BlackBerry recentemente descobriu dois documentos maliciosos que se passam pela organização Congresso Mundial da Ucrânia e tópicos relacionados à Cúpula da OTAN para atrair alvos selecionados.
Os atacantes usaram uma réplica do site do Congresso Mundial Ucraniano hospedado num domínio ".info" em vez do verdadeiro que usa um domínio de nível superior ".org".
Os documentos baixados vêm com um código malicioso que explora o formato de arquivo RTF para iniciar conexões com recursos externos, eventualmente carregando malware no sistema da vítima.
O malware RomCom foi descoberto pela primeira vez pela Unit 42 em agosto de 2022, que o associou a um afiliado do Ransomware de Cuba, uma avaliação que a Equipe de Resposta a Emergências de Computador da Ucrânia (CERT-UA) concordou com base em um relatório de outubro de 2022.
No entanto, a análise do BlackBerry daquela época disse que os atores de ameaças por trás do RomCom seguem uma abordagem de direcionamento bastante globalizada, destacando que o ransomware de Cuba nunca se inclinou para o hacktivismo.
Em novembro de 2022, a empresa de cibersegurança descobriu uma nova campanha RomCom que abusava de marcas de software e usava sites falsos em inglês e ucraniano para alvejar vítimas desavisadas com instaladores maliciosos.
Mais recentemente, em maio de 2023, um relatório da Trend Micro sobre a última campanha do RomCom mostrou que os atores de ameaças agora estavam se passando por software legítimo como Gimp e ChatGPT ou criando sites falsos de desenvolvedores de software para empurrar uma backdoor para as vítimas por meio do Google Ads e técnicas de SEO.
A última campanha que a BlackBerry analisou usa links de download num domínio com erro de digitação para o site do Congresso Mundial Ucraniano, provavelmente promovido através de spear-phishing, para infectar os visitantes com malware.
Os documentos baixados do site falso iniciam uma conexão de saída ao serem lançados e baixam componentes adicionais do servidor de comando e controle (C2) do atacante.
O componente adicional observado durante a pesquisa é um script que utiliza a vulnerabilidade Follina (
CVE-2022-30190
) da Ferramenta de Diagnóstico de Suporte da Microsoft (MSDT).
"Se explorado com sucesso, permite ao atacante conduzir um ataque baseado na execução remota de código (RCE) através da elaboração de um documento .docx ou .rtf malicioso projetado para explorar a vulnerabilidade", explica o relatório.
"Isto é alcançado ao se utilizar o documento especialmente elaborado para executar uma versão vulnerável do MSDT, que por sua vez permite ao atacante passar um comando para a utilidade para execução", acrescentou o relatório.
O passo final do ataque é carregar uma backdoor do RomCom na máquina, que chega na forma de um arquivo DLL x64 denominado 'Calc.exe'.
RomCom se conecta ao C2 para registrar a vítima e envia de volta detalhes como nome de usuário, informações do adaptador de rede e tamanho da RAM do computador comprometido.
A backdoor eventualmente escreve 'security.dll' para ser executado automaticamente na reinicialização para persistência e aguarda comandos do C2, que, com base em relatórios anteriores, incluem exfiltração de dados, download de payloads adicionais, exclusão de arquivos ou diretórios, gerando processos com PID falsificado, além de iniciar um shell reversa.
BlackBerry acredita que a campanha analisada é ou uma operação RomCom 'rebranded' ou uma que inclui membros principais do antigo grupo que apoiam a nova atividade de ameaça.
O relatório dos pesquisadores inclui indicadores de comprometimento para os documentos isca, malware de segunda etapa, e endereços IP e domínio utilizados para a campanha.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...