RomCom, agente cibernetico legato alla Russia, attacca sostenitori dell'Ucraina durante il vertice NATO 2023
Attraverso tattiche sofisticate di spear-phishing, RomCom ha distribuito un trojan di accesso remoto mirato ai delegati del vertice di Vilnius, Lituania
Recentemente, è stata identificata un'operazione informatica orchestrata da un attore minaccioso legato alla Russia, noto come RomCom. L'obiettivo principale di queste operazioni sono entità e individui che sostengono l'Ucraina, inclusi i partecipanti al vertice NATO 2023 che si svolge l'11 e il 12 luglio. Questa informazione è stata segnalata dall'unità di cybersecurity di BlackBerry.
Tattiche utilizzate e analisi preliminare
Il vertice NATO si svolge a Vilnius, Lituania, e in agenda ci sono discussioni focalizzate sulla guerra in Ucraina, oltre a nuovi ingressi nell'organizzazione, come la Svezia e l'Ucraina stessa. RomCom ha sfruttato l'evento per creare documenti malevoli probabilmente destinati ai sostenitori dell'Ucraina. BlackBerry riferisce che sembra che RomCom abbia testato la sua distribuzione il 22 giugno e alcuni giorni prima che il dominio di comando e controllo (C&C) utilizzato nella campagna diventasse operativo.
Descrizione dettagliata della catena di infezione
Per la distribuzione di uno dei documenti malevoli, è probabile che l'attore minaccioso si sia basato sullo spear-phishing, utilizzando un file RTF incorporato e oggetti OLE per iniziare una catena di infezione destinata a raccogliere informazioni di sistema e a distribuire il trojan di accesso remoto (RAT) di RomCom. In una fase della catena di infezione, viene sfruttata una vulnerabilità nello strumento di diagnostica di supporto di Microsoft (MSDT) - CVE-2022-30190, noto anche come Follina - per l'esecuzione di codice remoto (RCE).
Conclusioni dell'analisi e avvisi alle autorità
Secondo BlackBerry, i domini C&C e gli IP delle vittime identificati durante questa campagna sono stati tutti accessibili da un singolo server, che è stato osservato mentre si collegava alla nota infrastruttura di RomCom. Sulla base delle tattiche, delle tecniche e delle procedure (TTPs) osservate, dell'infrastruttura di rete, delle similitudini di codice e di altri artefatti raccolti, BlackBerry ritiene che l'attore minaccioso RomCom - o membri di RomCom - sia dietro l'operazione informatica. L'azienda ha segnalato questa campagna alle agenzie governative rilevanti prima di rendere pubbliche queste informazioni.
Seguici su Instagram per altre pillole come questa11/07/2023 11:32
Marco Verro