被称为RomCom的黑客正在利用SolarWinds、KeePass和PDF Technologies的品牌力量，开展一系列新的攻击活动。黑莓威胁研究和情报团队在分析最近关于RomComRAT报告中发现的网络工件时，察觉到了这些活动，该报告称通过仿冒版本的高级IP扫描仪软件针对乌克兰军事机构。 RomCom在其活动中模仿了以下产品：SolarWinds网络性能监视器，KeePass开源密码管理器和PDF Reader Pro。 RomCom黑客正在积极部署针对乌克兰受害者和全球英语目标的新运动。根据TOS，英国受害者可能是一个新的目标，而乌克兰仍然是主要焦点。这是基于两个恶意网站的服务条款 （TOS） 和新创建的命令和控制 （C2） 的SSL证书。 为了应对攻击，RomCom黑客执行以下简化方案：从供应商处获取原始合法HTML代码进行欺骗，注册类似于合法域的恶意域，木马化合法应用程序，将恶意捆绑包上传到欺骗网站，向受害者部署有针对性的钓鱼电子邮件，或者使用其他感染者载体。 11月1日，该团队又有了另一项发现。RomCom黑客发起了一场新的攻击活动，滥用名为KeePass的流行密码管理器。当有人从假冒但看起来合法的KeePass网站下载应用程序时，攻击者会将一个名为“KeePass-2.52”的恶意捆绑包投放到受害者的计算机上。 RomCom RAT，古巴勒索软件和工业间谍有明显的联系。工业间谍是一个相对较新的勒索软件组织，于2022年4月出现。然而，考虑到目标的地理位置和特征，结合当前的地缘政治局势，目前尚不清楚RomCom黑客的真正动机是否纯粹是网络犯罪。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/2005/ 消息来源：BlackBerry，封面来自网络，译者：Shirley。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

The Hacker News 网站披露，安全研究人员在 2022 年 10 月 21 日开始的一场鱼叉式网络钓鱼行动中，发现远程访问特洛伊木马 Romcom Rate 运营商攻击了乌克兰军事机构。 黑莓研究和情报团队表示：最初“高级 IP 扫描器’活动发生在 2022 年 7 月 23 日，一旦受害者安装了特洛伊木马捆绑包，它就会向系统投放 Romcom Rate。 新鱼叉式网络钓鱼事件标志着攻击者作案手法发生转变，此前部分人员认为攻击者是通过欺骗 Advanced IP Scanner 和 pdfFiller 等合法应用程序，在受攻击的系统上安装后门程序。 此前攻击活动迭代涉及使用特洛伊木马高级 IP 扫描器，但自 10 月 20 日起，身份不明的攻击者已切换到 pdfFiller，这种情况说明，部分攻击者正在积极尝试完善战术和挫败检测。 这些看起来很像的网站都托管了一个流氓安装程序包，导致受害者部署了Romcom RAT，它能够收集信息和捕获屏幕截图，所有这些都被导出到远程服务器。 攻击者针对乌克兰军方的攻击活动好像没有使用最初的手段，反而使用了一封带有嵌入链接的钓鱼电子邮件作为初始感染载体，导致虚假网站放弃了下一阶段的下载。 下载程序使用“Blythe Consulting sp.z o.o”的有效数字证书进行签名，用于额外逃避层，然后用于提取和运行 RomCom RAT 恶意软件。黑莓表示，合法版本的 pdfFiller 使用了相同签名者。 除了乌克兰军队之外，这场攻击活动的目标还包括美国、巴西和菲律宾的 IT 公司、食品制造企业等。 黑莓公司威胁研究人员德米特里·贝斯图热夫（Dmitry Bestuzhev）表示，这场攻击活动是网络犯罪动机威胁者和目标攻击威胁者之间界限模糊的一个例子。过去，两组都是独立行动，依靠不同工具。 转自 Freebuf，原文链接：https://www.freebuf.com/news/348151.html 封面来源于网络，如有侵权请联系删除