乌克兰计算机应急响应小组 (CERT-UA) 已就古巴勒索软件对该国关键网络的潜在攻击发出警报。
从 10 月 21 日开始,CERT-UA 观察到新一波网络钓鱼电子邮件,这些电子邮件冒充乌克兰武装部队总参谋部新闻服务部,敦促收件人点击嵌入式链接。
该链接将收件人带到第三方网页,据称可以下载名为“Наказ_309.pdf”的文档,但他们会看到一个虚假警报,指出访问者需要先更新他们的 PDF 阅读器软件。
该网站然后敦促访问者单击“下载”按钮,这会导致下载类似于 Acrobat Reader 安装程序的可执行文件(“AcroRdrDCx642200120169_uk_UA.exe”)。
但是,运行此文件将安装并执行“rmtpak.dll”DLL 文件,这是 Cuba Ransomware 的签名恶意软件,称为“ROMCOM RAT”。
ROMCOM 于 2022 年 8 月首次被 Palo Alto Networks 的研究人员发现,将使用新恶意软件的古巴勒索软件关联公司命名为“热带天蝎座”。
该恶意软件允许威胁参与者在主机上执行文件操作、窃取数据、生成欺骗进程、启动反向 shell 等等。
“考虑到 RomCom 后门的使用,以及相关文件的其他功能,我们认为有可能将检测到的活动与负责古巴勒索软件的分发,” CERT-UA 公告总结道。
黑莓昨天发布的另一份报告提供了有关在乌克兰军事机构使用 ROMCOM 的一些额外细节,并解释说攻击中使用的恶意可执行文件使用有效的数字证书签名。
黑莓还重点介绍了位于菲律宾、巴西和美国的恶意软件的其他受害者。
在这些情况下,攻击者使用不同的负载投放站点来欺骗合法的“高级 IP 扫描程序”站点。值得注意的是,黑莓的报告并未将 ROMCOM RAT 与任何威胁行为者联系起来。
2022 年 9 月,据透露,古巴勒索软件袭击了巴尔干小国黑山,要求支付 10,000,000 美元的赎金。
虽然该事件最初被赋予了地缘政治色彩,但古巴勒索软件并不属于宣布对黑客行为感兴趣的黑客之一,他们也没有在俄罗斯和乌克兰之间的冲突中站队。
