(https://i.imgur.com/5usGhzc.png)
El personal militar de la Unión Europea y los líderes políticos que trabajan en iniciativas de igualdad de género se han convertido en el objetivo de una nueva campaña que ofrece una versión actualizada de RomCom RAT llamada PEAPOD.
La firma de ciberseguridad Trend Micro atribuyó los ataques a un actor de amenazas que rastrea bajo el nombre de Void Rabisu, que también se conoce como Storm-0978, Tropical Scorpius y UNC2596, y también se cree que está asociado con el ransomware Cuba.
El colectivo adversario es un grupo inusual en el sentido de que lleva a cabo ataques tanto por motivos financieros como de espionaje, difuminando la línea entre sus modos de operación. También está vinculado exclusivamente al uso de RomCom RAT.
Los ataques que involucran el uso de la puerta trasera han señalado a Ucrania y a los países que apoyan a Ucrania en su guerra contra Rusia durante el último año.
A principios de este mes de julio, Microsoft implicó a Void Rabisu en la explotación de CVE-2023-36884, un fallo de ejecución remota de código en Office y Windows HTML, mediante el uso de señuelos de documentos de Microsoft Office especialmente diseñados relacionados con el Congreso Mundial de Ucrania.
RomCom RAT es capaz de interactuar con un servidor de comando y control (C&C) para recibir comandos y ejecutarlos en la máquina de la víctima, al mismo tiempo que incluye técnicas de evasión de defensa, marcando una evolución constante en su sofisticación.
El malware generalmente se distribuye a través de correos electrónicos de spear-phishing altamente dirigidos y anuncios falsos en motores de búsqueda como Google y Bing para engañar a los usuarios para que visiten sitios de señuelo que alojan versiones troyanizadas de aplicaciones legítimas.
(https://i.imgur.com/GAj2Ctx.png)
"Void Rabisu es uno de los ejemplos más claros en los que vemos una mezcla de las tácticas, técnicas y procedimientos (TTP) típicos utilizados por los actores de amenazas cibercriminales y los TTP utilizados por los actores de amenazas patrocinados por estados-nación motivados principalmente por objetivos de espionaje", dijo Trend Micro.
El último conjunto de ataques detectados por la compañía en agosto de 2023 también ofrece RomCom RAT, solo que es una iteración actualizada y reducida del malware que se distribuye a través de un sitio web llamado wplsummit[.] com, que es una réplica del legítimo wplsummit[.] org.
En el sitio web está presente un enlace a una carpeta de Microsoft OneDrive que alberga un ejecutable llamado "Unpublished Pictures 1-20230802T122531-002-sfx.exe", un archivo de 21.6 MB que tiene como objetivo imitar una carpeta que contiene fotos de la Cumbre de Mujeres Líderes Políticas (WPL) que tuvo lugar en junio de 2023.
El binario es un descargador que coloca 56 imágenes en el sistema de destino como señuelo, mientras recupera un archivo DLL de un servidor remoto. Se dice que estas fotos fueron obtenidas por el actor malicioso de publicaciones individuales en varias plataformas de redes sociales como LinkedIn, X (anteriormente conocida como Twitter) e Instagram.
El archivo DLL, por su parte, establece contacto con otro dominio para obtener el artefacto PEAPOD de tercera etapa, que admite 10 comandos en total, frente a los 42 comandos admitidos por su predecesor.
La versión revisada está equipada para ejecutar comandos arbitrarios, descargar y cargar archivos, obtener información del sistema e incluso desinstalarse del host comprometido. Al reducir el malware a las características más esenciales, la idea es limitar su huella digital y complicar los esfuerzos de detección.
"Si bien no tenemos evidencia de que Void Rabisu esté patrocinado por un estado-nación, es posible que sea uno de los actores de amenazas motivados financieramente de la clandestinidad criminal que se vio arrastrado a actividades de ciberespionaje debido a las extraordinarias circunstancias geopolíticas causadas por la guerra en Ucrania", dijo Trend Micro.
Fuente: https://thehackernews.com