Дослідники виявили нову хвилю атак на високопоставлені українські державні установи та невідомі польські організації з використанням оновленої версії шкідливого програмного забезпечення RomCom.
Метою цих атак є отримання довготривалого доступу до систем жертв та викрадення даних, що становлять «стратегічний інтерес». Згідно з останнім звітом компанії Cisco Talos, що спеціалізується на кібербезпеці, хакери можуть згодом розгорнути на скомпрометованих пристроях програми-вимагачі з метою отримання фінансової вигоди.
RomCom, також відомий як Storm-0978, відомий тим, що націлений на оборонні та урядові установи в Європі та Північній Америці. Він займається як програмами-вимагачами, так і шпигунськими атаками, і його пов’язують з російськомовними суб’єктами загроз. RomCom отримав свою назву від спеціального шкідливого програмного забезпечення, яке він використовує щонайменше з 2022 року.
У своїй останній кампанії, проаналізованій Cisco Talos, група надсилає жертвам оновлене шкідливе програмне забезпечення RomCom через фішингові електронні листи. Це дозволяє зловмисникам виконувати команди та завантажувати додаткові інструменти на пристрої жертв.
Новий варіант RomCom, який дослідники назвали SingleCamper, надсилає системну інформацію на підконтрольні хакерам сервери, що дозволяє їм оцінити, чи варта скомпрометована система подальшої експлуатації. Шкідливе програмне забезпечення також може проникнути у файли з певними розширеннями.
Згідно з дослідженням Palo Alto Networks, найперша версія цього нового варіанту RomCom, відстежена ними як SnipBot, була надіслана з України до репозиторію VirusTotal у грудні 2023 року. Cisco Talos відстежив початок останньої кампанії приблизно в той самий час.
У фішинговому електронному листі, виявленому дослідниками, зловмисник видавав себе за легітимну організацію і використовував PDF-документ, замаскований під резюме, як приманку. За даними Palo Alto Networks, RomCom використовував новий варіант проти широкого кола жертв, включаючи компанії з технологічного, юридичного та сільськогосподарського секторів.
Минулого року хакери, пов’язані з RomCom, атакували Україну та її союзників напередодні саміту НАТО в Литві. Вони, ймовірно, скористалися резонансною подією, щоб заразити гостей шкідливим програмним забезпеченням.
За даними BlackBerry, RomCom також раніше використовувався проти українських військових організацій, ІТ-компаній та політиків, які співпрацюють із західними країнами. Серед інших жертв – американська медична компанія, що надає гуманітарну допомогу українським біженцям, які отримують медичну допомогу в США.
В українських та польських організаціях з’явилося оновлення шкідливого програмного забезпечення RomCom
