最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

古巴勒索软件附属机构针对乌克兰政府机构

网络安全 快米云 来源:快米云 159浏览

UA黑客

乌克兰计算机应急响应小组 (CERT-UA) 已就古巴勒索软件对该国关键网络的潜在攻击发出警报。

从 10 月 21 日开始,CERT-UA 观察到新一波网络钓鱼电子邮件,这些电子邮件冒充乌克兰武装部队总参谋部新闻服务部,敦促收件人点击嵌入式链接。

在乌克兰分发的恶意电子邮件
在乌克兰分发的恶意电子邮件 (CERT-UA)

该链接将收件人带到第三方网页,据称可以下载名为“Наказ_309.pdf”的文档,但他们会看到一个虚假警报,指出访问者需要先更新他们的 PDF 阅读器软件。

该网站然后敦促访问者单击“下载”按钮,这会导致下载类似于 Acrobat Reader 安装程序的可执行文件(“AcroRdrDCx642200120169_uk_UA.exe”)。

但是,运行此文件将安装并执行“rmtpak.dll”DLL 文件,这是 Cuba Ransomware 的签名恶意软件,称为“ROMCOM RAT”。

有效载荷下降网站
有效载荷投放网站 (CERT-UA)

ROMCOM 于 2022 年 8 月首次被 Palo Alto Networks 的研究人员发现,将使用新恶意软件的古巴勒索软件关联公司命名为“热带天蝎座”。

该恶意软件允许威胁参与者在主机上执行文件操作、窃取数据、生成欺骗进程、启动反向 shell 等等。

“考虑到 RomCom 后门的使用,以及相关文件的其他功能,我们认为有可能将检测到的活动与负责古巴勒索软件的分发,” CERT-UA 公告总结道。

黑莓昨天发布的另一份报告提供了有关在乌克兰军事机构使用 ROMCOM 的一些额外细节,并解释说攻击中使用的恶意可执行文件使用有效的数字证书签名。

ROMCOM 签名
ROMCOM 签名 (黑莓)

黑莓还重点介绍了位于菲律宾、巴西和美国的恶意软件的其他受害者。

在这些情况下,攻击者使用不同的负载投放站点来欺骗合法的“高级 IP 扫描程序”站点。值得注意的是,黑莓的报告并未将 ROMCOM RAT 与任何威胁行为者联系起来。

第二个恶意软件投放网站
第二个恶意软件投放网站 (黑莓)

2022 年 9 月,据透露,古巴勒索软件袭击了巴尔干小国黑山,要求支付 10,000,000 美元的赎金

虽然该事件最初被赋予了地缘政治色彩,但古巴勒索软件并不属于宣布对黑客行为感兴趣的黑客之一,他们也没有在俄罗斯和乌克兰之间的冲突中站队。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 古巴勒索软件附属机构针对乌克兰政府机构