Разрушители гендерного равенства: кибератаки в сердце ЕС

Согласно отчёту ИБ-компании Trend Micro, группировка Void Rabisu нацелилась на военных и политических лидеров Евросоюза, занимающихся инициативами по гендерному равенству. Группа использовала обновленную версию вредоносного ПО RomCom RAT , получившего название PEAPOD.

Специалисты Trend Micro приписали атаки группировке Void Rabisu (Storm-0978, Tropical Scorpius, UNC2596). Считается, что группа связана с программой-вымогателем Cuba . Хакерский коллектив выделяется тем, что совершает кибератаки как с целью финансовой выгоды, так и для шпионажа, что делает действия группы нестандартными.

Кроме того, деятельность хакеров тесно связана с использованием трояна RomCom RAT (Remote Access Trojan, RAT). Так, Trend Micro ранее обнаружила, что Void Rabisu использует сеть фишинговых сайтов, на которых предлагаются поддельные версии популярных программ, для внедрения трояна RomCom RAT в целевые системы.

Также группа использовала RomCom RAT для атак на сторонников Украины перед саммитом НАТО в Вильнюсе (11-12 июля). Для привлечения жертв использовались поддельные документы, которые имитировали призыв к присоединению Украины к НАТО – одной из ключевых тем обсуждения на саммите.

Серия атак, обнаруженная в августе 2023 года, включает в себя обновленную и упрощенную версию RomCom RAT, которая распространяется через поддельный сайт «wplsummit[.]com», имитирующий легитимный домен wplsummit[.]org. Сайт посвящён саммиту Women Political Leaders (WPL Summit) о женщинах-политиках.

На сайте есть ссылка на папку Microsoft OneDrive , которая содержит исполняемый файл, имитирующий папку с фотографиями с саммита WPL Summit, проходившего в июне в Брюсселе, Бельгия. Файл загружает 56 фотографий на целевую систему, чтобы отвлечь жертву. А в это время файл извлекает DLL-файл с удаленного сервера.

Загруженные фотографии

DLL-файл устанавливает связь с другим доменом для извлечения нагрузки третьего этапа – вредоноса PEAPOD, поддерживающего всего 10 команд по сравнению с 42 командами оригинального RomCom RAT.

Обновленная версия способна выполнять произвольные команды, загружать и отправлять файлы, получать информацию о системе и даже удалять себя с зараженного хоста. Упрощение вредоносного ПО позволяет уменьшить цифровой след и усложнить обнаружение.