Thread: Партнеры группировки Cuba дерзко атакуют критически важную инфраструктуру на Украине
View Single Post
  #1  
Old 02-13-2025, 08:35 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

В ходе последних атак киберпреступники использовали опасный троян ROMCOM.

Украинская группа быстрого реагирования на компьютерные инциденты (CERT-UA) предупреждает о возможных атаках операторов Cuba на украинскую критическую инфраструктуру. 21 октября 2022 года CERT-UA Украины раскрыла фишинговую кампанию, в ходе которой злоумышленники в электронных письмах выдавали себя за пресс-службу Генерального штаба Вооруженных сил Украины. Фишинговые письма содержали ссылку на веб-сайт, который автоматически запускал загрузку документа под названием "Наказ_309.pdf".
Этот веб-сайт был сделан таким образом, чтобы заставить читающего обновить ПО (PDF Reader). И если жертва все же ведется и нажимает на кнопку “СКАЧАТЬ”, то на ее компьютер будет загружен exe-файл под именем "AcroRdrDCx642200120169_uk_UA.exe".
Запуск исполняемого файла приведет к декодированию и запуску DLL-файла "rmtpak.dll", который является трояном удаленного доступа (RAT) под названием ROMCOM. Этот вредонос связывается с C&C-серверами через запросы ICMP, выполняемые через функции Windows API. Кроме того, ROMCOM RAT поддерживает десять основных команд:
  • Получить информацию о подключенном диске;

  • Получить списки файлов для указанного каталога;

  • Запустить реверс-шелл svchelper.exe в папке %ProgramData%;

  • Загрузить данные на управляющий сервер в виде файла ZIP, используя IShellDispatch для копирования файлов;

  • Скачать данные и записать в worker.txt в папке %ProgramData%;

  • Удалить указанный файл;

  • Удалить указанный каталог;

  • Создать процесс с подменой PID;

  • Обрабатывать только ServiceMain,полученный от управляющего сервера и «спать» в на протяжении 120 000 мс;

  • Выполнить обход запущенных процессов и собрать их ID.

Напомним, ранее этот троян удаленного доступа использовала группировка Tropical Scorpius (она же UNC2596), отслеживаемая CERT-UA под идентификатором UAC-0132 и распространяющая вредоносное ПО от Cuba.
В предупреждении CERT-UA сказано: “Учитывая использование бэкдора RomCom, а также другие особенности связанных файлов, мы считаем возможным связать обнаруженную активность с деятельностью группировки Tropical Scorpius (она же UNC2596), ответственной за распространение вымогательского ПО от Cuba”.