Como parte de uma operação cibernética recentemente identificada, um agente de ameaças ligado à Rússia, conhecido como RomCom, tem como alvo entidades que apoiam a Ucrânia, incluindo convidados da Cúpula da OTAN de 2023, que acontecerá de 11 a 12 de julho, informou a unidade de segurança cibernética da BlackBerry.
A decorrer em Vilnius, na Lituânia, a Cimeira da NATO tem na agenda conversações centradas na guerra na Ucrânia, bem como novas adesões à organização, entre as quais a Suécia e a própria Ucrânia.
Aproveitando o evento, a RomCom criou documentos maliciosos que provavelmente serão distribuídos aos apoiadores da Ucrânia e parece ter testado sua entrega em 22 de junho e alguns dias antes do domínio de comando e controle (C&C) usado no campanha foi ao ar, BlackBerry explica.
O agente da ameaça provavelmente contou com spear-phishing para distribuir um dos documentos maliciosos, contando com um arquivo RTF incorporado e objetos OLE para inicializar uma cadeia de infecção destinada a coletar informações do sistema e entregar o trojan de acesso remoto RomCom (RAT).
Em um estágio da cadeia de infecção, uma vulnerabilidade na ferramenta de diagnóstico de suporte da Microsoft (MSDT) – CVE-2022-30190, também conhecida como Follina – é explorada para execução remota de código (RCE).
De acordo com a BlackBerry, os domínios C&C e os IPs das vítimas identificados durante esta campanha foram todos acessados de um único servidor, que foi observado conectando-se a uma infraestrutura RomCom conhecida.
Com base nas táticas, técnicas e procedimentos (TTPs) observados, infraestrutura de rede, semelhanças de código e outros artefatos coletados, a BlackBerry está confiante de que o agente da ameaça RomCom – ou membros da RomCom – está por trás da operação cibernética.
“Com base na natureza da próxima cúpula da OTAN e nos documentos de atração relacionados enviados pelo agente da ameaça, as vítimas pretendidas são representantes da Ucrânia, organizações estrangeiras e indivíduos que apoiam a Ucrânia”, diz BlackBerry.
A empresa alertou as agências governamentais relevantes sobre esta campanha antes de tornar as informações públicas.
Também rastreado como Void Rabisu e Tropical Scorpius, e associado ao ransomware Cuba, RomCom era considerado motivado financeiramente, mas campanhas recentes mostraram uma mudança de tática e motivação, sugerindo que o grupo provavelmente trabalhando para o governo russo.
Desde pelo menos outubro de 2022, o backdoor RomCom do agente da ameaça tem sido usado em ataques direcionados à Ucrânia, incluindo usuários do programa de conscientização situacional Delta da Ucrânia e organizações nos setores de serviços públicos de energia e água da Ucrânia.
Fora da Ucrânia, RomCom ataca visadas um governo provincial local ajudando refugiados ucranianos, um membro do parlamento de um país europeu, participantes da Conferência de Segurança de Munique e a conferência Masters of Digital, e uma empresa europeia de defesa.