Pirates De La Romcom

L’acteur menaçant derrière un cheval de Troie d’accès à distance appelé RomCom RAT a été observé ciblant des institutions militaires ukrainiennes dans le cadre d’une nouvelle campagne de harponnage qui a débuté le 21 octobre 2022.

Le développement marque un changement dans le mode opératoire de l’attaquant, qui était auparavant attribué à l’usurpation d’applications légitimes comme Advanced IP Scanner et pdfFiller pour supprimer des portes dérobées sur des systèmes compromis.

« La campagne initiale » Advanced IP Scanner « a eu lieu le 23 juillet 2022 », a déclaré l’équipe de recherche et de renseignement de BlackBerry. a dit. « Une fois que la victime a installé un ensemble contenant un cheval de Troie, il dépose RomCom RAT sur le système. »

Alors que les précédentes itérations de la campagne impliquaient l’utilisation d’Advanced IP Scanner, un cheval de Troie, le collectif contradictoire non identifié est depuis passé à pdfFiller à partir du 20 octobre, indiquant une tentative active de la part de l’adversaire d’affiner les tactiques et de contrecarrer la détection.

Ces sites Web similaires hébergent un package d’installation malveillant qui entraîne le déploiement du RomCom RAT, capable de collecter des informations et de capturer des captures d’écran, le tout étant exporté vers un serveur distant.

Publicité
Versions Malveillantes D'applications Populaires

La dernière activité de l’adversaire dirigée contre l’armée ukrainienne est un départ en ce sens qu’elle utilise un e-mail de phishing avec un lien intégré comme vecteur d’infection initial, conduisant à un faux site Web laissant tomber le téléchargeur de la prochaine étape.

La Cyber-Sécurité

Ce téléchargeur, signé à l’aide d’un certificat numérique valide de « Blythe Consulting sp. z oo » pour une couche supplémentaire d’évasion, est ensuite utilisé pour extraire et exécuter le malware RomCom RAT. BlackBerry a déclaré que le même signataire est utilisé par la version légitime de pdfFiller.

Outre l’armée ukrainienne, les autres cibles de la campagne comprennent les entreprises informatiques, les courtiers en alimentation et les entités de fabrication d’aliments aux États-Unis, au Brésil et aux Philippines.

« Cette campagne est un bon exemple de la ligne floue entre les acteurs de la menace motivée par la cybercriminalité et les acteurs de la menace d’attaque ciblée », a déclaré Dmitry Bestuzhev, chercheur sur les menaces chez BlackBerry, à The Hacker News.

« Dans le passé, les deux groupes agissaient indépendamment, en s’appuyant sur des outils différents. Aujourd’hui, les acteurs des attaques ciblées s’appuient davantage sur les outils traditionnels, ce qui rend l’attribution plus difficile. »


Rate this post
Publicité
Article précédentLes bénéfices de SK Hynix chutent de 60 %, selon les restrictions américaines à l’exportation qui pourraient forcer la fermeture d’une usine chinoise
Article suivantAperçu rapide : DAC/amplificateur portable Questyle M15
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici