Новости Разрушители гендерного равенства: кибератаки в сердце ЕС

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
Женщины-политики не поддержат такую тенденцию в киберпространстве.


im2239n3rwkxnoe2b0x3k17jsdiffdwz.jpg


Согласно Для просмотра ссылки Войди или Зарегистрируйся ИБ-компании Trend Micro, группировка Void Rabisu нацелилась на военных и политических лидеров Евросоюза, занимающихся инициативами по гендерному равенству. Группа использовала обновленную версию вредоносного ПО RomCom RAT , получившего название PEAPOD.

Специалисты Trend Micro приписали атаки группировке Void Rabisu (Storm-0978, Tropical Scorpius, UNC2596). Считается, что группа связана с программой-вымогателем Cuba . Хакерский коллектив выделяется тем, что совершает кибератаки как с целью финансовой выгоды, так и для шпионажа, что делает действия группы нестандартными.

Кроме того, деятельность хакеров тесно связана с использованием трояна RomCom RAT (Remote Access Trojan, RAT). Так, Trend Micro ранее обнаружила, что Void Rabisu использует сеть фишинговых сайтов, на которых предлагаются поддельные версии популярных программ, Для просмотра ссылки Войди или Зарегистрируйся в целевые системы.

Также группа использовала RomCom RAT Для просмотра ссылки Войди или Зарегистрируйся в Вильнюсе (11-12 июля). Для привлечения жертв использовались поддельные документы, которые имитировали призыв к присоединению Украины к НАТО – одной из ключевых тем обсуждения на саммите.

Серия атак, обнаруженная в августе 2023 года, включает в себя обновленную и упрощенную версию RomCom RAT, которая распространяется через поддельный сайт «wplsummit[.]com», имитирующий легитимный домен wplsummit[.]org. Сайт посвящён саммиту Women Political Leaders (WPL Summit) о женщинах-политиках.

На сайте есть ссылка на папку Microsoft OneDrive , которая содержит исполняемый файл, имитирующий папку с фотографиями с саммита WPL Summit, проходившего в июне в Брюсселе, Бельгия. Файл загружает 56 фотографий на целевую систему, чтобы отвлечь жертву. А в это время файл извлекает DLL-файл с удаленного сервера.


n02d6m6sicj21b1zyohunz40g1117l1e.png


Загруженные фотографии

DLL-файл устанавливает связь с другим доменом для извлечения нагрузки третьего этапа – артефакта PEAPOD, поддерживающего всего 10 команд по сравнению с 42 командами оригинального RomCom RAT.

Обновленная версия способна выполнять произвольные команды, загружать и отправлять файлы, получать информацию о системе и даже удалять себя с зараженного хоста. Упрощение вредоносного ПО позволяет уменьшить цифровой след и усложнить обнаружение.
 
Источник новости
www.securitylab.ru