可用-黑客

CERT-UA 警告称,古巴勒索软件子公司瞄准乌克兰

  • 浏览次数 17231
  • 喜欢 0
  • 评分 12345

Hackernews 编译,转载请注明出处:

乌克兰计算机紧急响应小组(CERT-UA)警告称,当地关键基础设施可能受到古巴勒索软件攻击

2022年10月21日,乌克兰CERT-UA发现了一场冒充乌克兰武装部队总参谋部新闻处的网络钓鱼活动。网络钓鱼邮件包括一个第三方网站的链接,用于下载标题为“Наказ_309.pdf”的文档。

该网页旨在诱骗读者更新软件(PDF阅读器)来阅读文档。

单击“下载”按钮后,名为“AcroRdrDCx642200120169_uk_UA.exe”的可执行文件将下载到计算机。

运行上述可执行文件将解码并运行“rmtpak.dll”DLL文件,即ROMCOM RAT。

微信截图_20221025101422

研究人员将RomCom后门的使用与黑客Tropical Scorpius(又名UNC2596)联系在一起,CERT-UA将其追踪为UAC-0132,负责古巴勒索软件的分发。

乌克兰发布的警报称:“考虑到RomCom后门的使用以及相关文件的其他功能,我们认为可以将检测到的活动与Tropical Scorpius (Unit42),又名UNC2596(Mandiant)的活动联系起来,该集团负责古巴勒索软件的分发;CERT-UA 在标识符UAC-0132下监视活动。”

从2022年5月初开始,Palo Alto Network的第42分队观察到Tropical Scorpius黑客使用新颖的工具和技术部署了古巴勒索软件,包括定制后门RomCom。

警报还包括此次活动的妥协指标。

 

消息来源:securityaffairs,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文