威胁情报信息分享|RomCom攻击者对北约国家发起网络钓鱼攻击

自从即将在立陶宛首都维尔纽斯举行的北约峰会宣布以来，威胁行为者就把与会者和组织列入了他们的目标名单。RomCom威胁行为者发起的这样一场活动引起了注意。该活动使用错别字攻击技术和鱼叉式网络钓鱼邮件来向访客传播恶意软件。

攻击方式

据BlackBerry研究员称，RomCom攻击者在6月22日进行了他们的第一次演习，使用的是托管在.info域上的乌克兰世界大会网站的副本。从假网站下载的文件包含恶意组件，用于启动出站连接并从攻击者的C2服务器启动额外的恶意软件。

在某些情况下，恶意文档包含一个基于即将到来的北约峰会以扩大对乌克兰的支持的诱饵。

额外的组件利用了微软支持诊断工具（MSDT）中的Follina漏洞（CVE-2022-30190），通过特殊制作的RTF文件格式进行远程代码执行攻击。

攻击的最后一步是在被感染的机器上部署RomCom后门。

更多详情

BlackBerry认为，当前的活动要么是重塑品牌的RomCom行动，要么是包含来自旧团队的核心成员支持新活动的行动。

此外，预定的受害者包括乌克兰的代表，外国组织和支持乌克兰的个人。

北约国家持续受到攻击

毋庸置疑，自从俄罗斯入侵乌克兰以来，对北约国家的网络攻击明显增加。

一个名为NoName的威胁团队关闭了与立陶宛首都相关的几个运输和旅游网站，以干扰在维尔纽斯举行的北约峰会。

与俄罗斯有关的APT29（又名Cozy Bear）使用ISO文件分发恶意软件，试图攻击来自北约和欧盟成员国的外交和外交部门。

在另一个事件中，CISA发布了一个警告，警告冬季Vivern利用Zimbra中的跨站点脚本漏洞对北约国家的政府发动攻击。

结尾的话

随着在乌克兰的战争中出现更多的威胁组织，组织需要保持警惕。他们必须部署强大的防御系统，同时跟踪与最新活动相关的IOCs。合适的威胁情报平台可以起到大有裨益的作用。

原文始发于微信公众号（XDsecurity）：威胁情报信息分享|RomCom攻击者对北约国家发起网络钓鱼攻击