被称为RomCom的黑客正在利用SolarWinds、KeePass和PDF Technologies的品牌力量,开展一系列新的攻击活动。黑莓威胁研究和情报团队在分析最近关于RomComRAT报告中发现的网络工件时,察觉到了这些活动,该报告称通过仿冒版本的高级IP扫描仪软件针对乌克兰军事机构。
RomCom在其活动中模仿了以下产品:SolarWinds网络性能监视器,KeePass开源密码管理器和PDF Reader Pro。
RomCom黑客正在积极部署针对乌克兰受害者和全球英语目标的新运动。根据TOS,英国受害者可能是一个新的目标,而乌克兰仍然是主要焦点。这是基于两个恶意网站的服务条款 (TOS) 和新创建的命令和控制 (C2) 的SSL证书。
为了应对攻击,RomCom黑客执行以下简化方案:从供应商处获取原始合法HTML代码进行欺骗,注册类似于合法域的恶意域,木马化合法应用程序,将恶意捆绑包上传到欺骗网站,向受害者部署有针对性的钓鱼电子邮件,或者使用其他感染者载体。
11月1日,该团队又有了另一项发现。RomCom黑客发起了一场新的攻击活动,滥用名为KeePass的流行密码管理器。当有人从假冒但看起来合法的KeePass网站下载应用程序时,攻击者会将一个名为“KeePass-2.52”的恶意捆绑包投放到受害者的计算机上。
RomCom RAT,古巴勒索软件和工业间谍有明显的联系。工业间谍是一个相对较新的勒索软件组织,于2022年4月出现。然而,考虑到目标的地理位置和特征,结合当前的地缘政治局势,目前尚不清楚RomCom黑客的真正动机是否纯粹是网络犯罪。
更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/2005/
消息来源:BlackBerry,封面来自网络,译者:Shirley。
本文由 HackerNews.cc 翻译整理。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。