Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Партнеры группировки Cuba дерзко атакуют критически важную инфраструктуру на Украине (http://txgate.io:443/showthread.php?t=11300)

Artifact 02-13-2025 08:35 PM

В ходе последних атак киберпреступники использовали опасный троян ROMCOM.
https://www.securitylab.ru/upload/ib...7c9lumx3uz.png
Украинская группа быстрого реагирования на компьютерные инциденты (CERT-UA) предупреждает о возможных атаках операторов Cuba на украинскую критическую инфраструктуру. 21 октября 2022 года CERT-UA Украины раскрыла фишинговую кампанию, в ходе которой злоумышленники в электронных письмах выдавали себя за пресс-службу Генерального штаба Вооруженных сил Украины. Фишинговые письма содержали ссылку на веб-сайт, который автоматически запускал загрузку документа под названием "Наказ_309.pdf".
Этот веб-сайт был сделан таким образом, чтобы заставить читающего обновить ПО (PDF Reader). И если жертва все же ведется и нажимает на кнопку “СКАЧАТЬ”, то на ее компьютер будет загружен exe-файл под именем "AcroRdrDCx642200120169_uk_UA.exe".
Запуск исполняемого файла приведет к декодированию и запуску DLL-файла "rmtpak.dll", который является трояном удаленного доступа (RAT) под названием ROMCOM. Этот вредонос связывается с C&amp;C-серверами через запросы ICMP, выполняемые через функции Windows API. Кроме того, ROMCOM RAT поддерживает десять основных команд:<ul><li>Получить информацию о подключенном диске;</li>
</ul><ul><li>Получить списки файлов для указанного каталога;</li>
</ul><ul><li>Запустить реверс-шелл svchelper.exe в папке %ProgramData%;</li>
</ul><ul><li>Загрузить данные на управляющий сервер в виде файла ZIP, используя IShellDispatch для копирования файлов;</li>
</ul><ul><li>Скачать данные и записать в worker.txt в папке %ProgramData%;</li>
</ul><ul><li>Удалить указанный файл;</li>
</ul><ul><li>Удалить указанный каталог;</li>
</ul><ul><li>Создать процесс с подменой PID;</li>
</ul><ul><li>Обрабатывать только ServiceMain,полученный от управляющего сервера и «спать» в на протяжении 120 000 мс;</li>
</ul><ul><li>Выполнить обход запущенных процессов и собрать их ID.</li>
</ul>Напомним, ранее этот троян удаленного доступа использовала группировка Tropical Scorpius (она же UNC2596), отслеживаемая CERT-UA под идентификатором UAC-0132 и распространяющая вредоносное ПО от Cuba.
В предупреждении CERT-UA сказано: “Учитывая использование бэкдора RomCom, а также другие особенности связанных файлов, мы считаем возможным связать обнаруженную активность с деятельностью группировки Tropical Scorpius (она же UNC2596), ответственной за распространение вымогательского ПО от Cuba”.


All times are GMT. The time now is 05:37 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.