Void Rabisu
A TrendMicro szerint a Void Rabisu fejlett tartós fenyegetés (APT) szereplőjeként viselkedik, amikor kormányokat és hadsereget vesz célba. 2023 júniusában a Void Rabisu kihasználta a CVE-2023-36884 biztonsági rést – amely akkor még nulladik nap volt – az Ukrán Világkongresszust és a 2023. júliusi NATO-csúcstalálkozót használó kampányokban. Az ukrajnai háborút övező rendkívüli geopolitikai körülmények a kémkedés által motivált kampányok felé késztetik a pénzügyekre törekvő fenyegetések egy részét.
A Void Rabisu egy behatolási készlet, amely mind pénzügyi indíttatású zsarolóvírus-támadásokhoz, mind Ukrajnára és Ukrajnát támogató országokra irányuló célzott kampányokhoz kapcsolódik. A fenyegetés szereplőjének korábbi célpontjai között szerepelt az ukrán kormány és katonaság, energia- és vízszolgáltató szektora, uniós politikusok, egy uniós kormány szóvivője, valamint a biztonsági konferencia résztvevői. A 2023. június végén és augusztus elején lefolytatott kampányokban a Void Rabisu a nemek közötti egyenlőséggel kapcsolatos kezdeményezéseken dolgozó uniós katonai személyzetet és politikai vezetőket vette célba. A Void Rabisu által használt figyelemre méltó eszközök közé tartozik a ROMCOM backdoor, amelynek úgy tűnik, hogy kizárólagos felhasználója. A ROMCOM maga is különféle fejlesztéseken ment keresztül az idők során, beleértve a hatékonyabb észlelési kijátszási technikák bevezetését.
Néhány legutóbbi kampányában a Void Rabisu új technikát kezdett alkalmazni, amelyről korábban nem számoltak be. Ez magában foglalja a ROMCOM parancs- és vezérlési (C&C) szerverek TLS-kényszerítő technikáját, amely megnehezítheti a ROMCOM-infrastruktúra automatikus felderítését. Megfigyeltük, hogy a Void Rabisu ezt a technikát használja egy 2023. májusi ROMCOM-kampányban, amely a legitim PaperCut szoftver rosszindulatú másolatát terjesztette, amelyben a C&C szerver figyelmen kívül hagyta a nem megfelelő kéréseket.
A TrendMicro jelentése általános hátteret ad a Void Rabisu-ról és tevékenységéről, kiemelten a női politikai vezetők (WPL) csúcstalálkozón használt eszközeire.
A TrendMicro megosztott az azonosításhoz szükséges mutatókat.