Бесплатно Экспресс-аудит сайта:

26.10.2022

Партнеры группировки Cuba дерзко атакуют критически важную инфраструктуру на Украине

Украинская группа быстрого реагирования на компьютерные инциденты (CERT-UA) предупреждает о возможных атаках операторов Cuba на украинскую критическую инфраструктуру. 21 октября 2022 года CERT-UA Украины раскрыла фишинговую кампанию, в ходе которой злоумышленники в электронных письмах выдавали себя за пресс-службу Генерального штаба Вооруженных сил Украины. Фишинговые письма содержали ссылку на веб-сайт, который автоматически запускал загрузку документа под названием "Наказ_309.pdf".

Этот веб-сайт был сделан таким образом, чтобы заставить читающего обновить ПО (PDF Reader). И если жертва все же ведется и нажимает на кнопку “СКАЧАТЬ”, то на ее компьютер будет загружен exe-файл под именем "AcroRdrDCx642200120169_uk_UA.exe".

Запуск исполняемого файла приведет к декодированию и запуску DLL-файла "rmtpak.dll", который является трояном удаленного доступа (RAT) под названием ROMCOM. Этот вредонос связывается с C&C-серверами через запросы ICMP, выполняемые через функции Windows API. Кроме того, ROMCOM RAT поддерживает десять основных команд:

  • Получить информацию о подключенном диске;
  • Получить списки файлов для указанного каталога;
  • Запустить реверс-шелл svchelper.exe в папке %ProgramData%;
  • Загрузить данные на управляющий сервер в виде файла ZIP, используя IShellDispatch для копирования файлов;
  • Скачать данные и записать в worker.txt в папке %ProgramData%;
  • Удалить указанный файл;
  • Удалить указанный каталог;
  • Создать процесс с подменой PID;
  • Обрабатывать только ServiceMain,полученный от управляющего сервера и «спать» в на протяжении 120 000 мс;
  • Выполнить обход запущенных процессов и собрать их ID.

Напомним, ранее этот троян удаленного доступа использовала группировка Tropical Scorpius (она же UNC2596), отслеживаемая CERT-UA под идентификатором UAC-0132 и распространяющая вредоносное ПО от Cuba.

В предупреждении CERT-UA сказано: “Учитывая использование бэкдора RomCom, а также другие особенности связанных файлов, мы считаем возможным связать обнаруженную активность с деятельностью группировки Tropical Scorpius (она же UNC2596), ответственной за распространение вымогательского ПО от Cuba”.

С полным текстом предупреждения и идентификаторами компрометации вы можете ознакомиться здесь .