Партнеры группировки Cuba дерзко атакуют критически важную инфраструктуру на Украине

[Artifact]

В ходе последних атак киберпреступники использовали опасный троян ROMCOM.

Украинская группа быстрого реагирования на компьютерные инциденты (CERT-UA) предупреждает о возможных атаках операторов Cuba на украинскую критическую инфраструктуру. 21 октября 2022 года CERT-UA Украины раскрыла фишинговую кампанию, в ходе которой злоумышленники в электронных письмах выдавали себя за пресс-службу Генерального штаба Вооруженных сил Украины. Фишинговые письма содержали ссылку на веб-сайт, который автоматически запускал загрузку документа под названием "Наказ_309.pdf".
Этот веб-сайт был сделан таким образом, чтобы заставить читающего обновить ПО (PDF Reader). И если жертва все же ведется и нажимает на кнопку “СКАЧАТЬ”, то на ее компьютер будет загружен exe-файл под именем "AcroRdrDCx642200120169_uk_UA.exe".
Запуск исполняемого файла приведет к декодированию и запуску DLL-файла "rmtpak.dll", который является трояном удаленного доступа (RAT) под названием ROMCOM. Этот вредонос связывается с C&C-серверами через запросы ICMP, выполняемые через функции Windows API. Кроме того, ROMCOM RAT поддерживает десять основных команд:

• Получить информацию о подключенном диске;

• Получить списки файлов для указанного каталога;

• Запустить реверс-шелл svchelper.exe в папке %ProgramData%;

• Загрузить данные на управляющий сервер в виде файла ZIP, используя IShellDispatch для копирования файлов;

• Скачать данные и записать в worker.txt в папке %ProgramData%;

• Удалить указанный файл;

• Удалить указанный каталог;

• Создать процесс с подменой PID;

• Обрабатывать только ServiceMain,полученный от управляющего сервера и «спать» в на протяжении 120 000 мс;

• Выполнить обход запущенных процессов и собрать их ID.

Напомним, ранее этот троян удаленного доступа использовала группировка Tropical Scorpius (она же UNC2596), отслеживаемая CERT-UA под идентификатором UAC-0132 и распространяющая вредоносное ПО от Cuba.
В предупреждении CERT-UA сказано: “Учитывая использование бэкдора RomCom, а также другие особенности связанных файлов, мы считаем возможным связать обнаруженную активность с деятельностью группировки Tropical Scorpius (она же UNC2596), ответственной за распространение вымогательского ПО от Cuba”.