NATO-csúcs: RomCom kampány
A BlackBerry Threat Research and Intelligence csapata talált két rosszindulatú, magyarországi IP-címről beküldött dokumentumot, amelyeket csalikként küldtek el egy Ukrajnát külföldön támogató szervezetnek, valamint egy dokumentumot, amely a NATO-csúcs közelgő vendégeit vette célba, akik szintén Ukrajnának nyújtanak támogatást.
A taktikán, technikákon és eljárásokon (TTP-k), a kódhasonlóságon és a fenyegetettségi szereplők hálózati infrastruktúráján alapuló elemzés alapján a BlackBerry arra következtet, hogy a RomCom néven ismert fenyegetettség szereplő állhat a művelet mögött. A belső telemetria, hálózati adatelemzés és az összegyűjtött eszközök teljes készlete alapján úgy gondolja a BlackBerry, hogy a kampány mögött álló fenyegetés szereplője június 22-én tesztelte, majd elindított a műveletet.
Július 11-12-én Vilnius ad otthont a NATO-csúcstalálkozónak. Az egyik napirendi téma Ukrajna lehetséges tagsága a a NATO-ban. Zelenszkij ukrán elnök megerősítette részvételét. Ezt az eseményt és Ukrajna NATO-csatlakozási kérelmét kihasználva a fenyegetés szereplői egy rosszindulatú dokumentumot hoztak létre és terjesztettek ki, amely az Ukrán Világkongresszus szervezetét használja ki, hogy a célcsoportnak, azaz Ukrajna támogatóinak terjeszthesse. A dokumentumban használt fertőzési technika az RTF kihasználás, a kimenő kapcsolatok az áldozat gépéről indulnak, amint az áldozat megnyitja a dokumentumot. Egy másik rosszindulatú dokumentumot is talált a BalackBerry ugyanattól a fenyegető szereplőtől, amely szintén a közelgő NATO-csúcsra épül. Lényegében ez egy hamis lobbidokumentum Ukrajna támogatására.
A BlackBerry még nem azonosított a fertőzés kezdeti vektorát, a fenyegetettség szereplője valószínűleg spear phishing technikát használ arra, hogy rákattintsanak az Ukrán Világkongresszus weboldalának másolatára. A hamis weboldal forráskódjának ellenőrzése bebizonyítja, hogy az eredeti klónozott másolata. A weboldal .info domainként van regisztrálva. A BlackBerry szerint a RomCom fenyegetés szereplője ugyanezt a technikát használta a korábbi kampányokban.
A BlackBerry részletesen ismerteti a műveletet és megosztotta az azonosításhoz szükséges mutatókat.
Pingback: Aktívan kihasznált Microsoft sérülékenység – Yet Another News Aggregator Channel