威胁情报信息分享|APT组织Void Rabisu利用RomCom进行地缘政治攻击

最近的攻击表明，Void Rabisu现在正在使用一个名为RomCom（浪漫喜剧）的后门程序，这表明其动机已从之前的勒索软件行动转向地缘政治间谍活动。自2022年10月以来，该集团的目标似乎已从金钱利益转向地缘政治间谍活动。

Void Rabisu的地缘政治攻击

根据趋势科技的报告，RomCom的活动自2022年夏天以来一直活跃。这些活动针对的是与乌克兰的能源和水务公共事业部门有关的组织。

攻击者使用社会工程策略和乌克兰语内容，针对乌克兰政府和军队。此外，该行动还针对了乌克兰以外的一些实体，包括为乌克兰难民提供援助的地方政府、一家欧洲防务公司、一位议会成员，以及欧洲和美国的不同IT服务提供商。

2022年12月，乌克兰军队的DELTA网站的伪造版本被用作诱饵，用来传播RomCom后门程序。此外，这个后门程序还被用于针对"数字大师"会议的参与者的活动。

攻击策略

RomCom后门程序通常通过看起来真实的诱饵网站分发，并且用于有限的定向攻击。这些网站提供真实应用程序的特洛伊版本，如AstraChat和Signal、PDF阅读器、密码管理器和远程桌面应用程序。

此外，攻击者还使用了针对性网络钓鱼和一个Google广告，该广告将用户重定向到一个RomCom的诱饵网站。

更多关于RomCom

RomCom常常使用VMProtect来使沙盒分析变得具有挑战性，并使用二进制填充技术在负载文件上进行混淆。此外，RomCom的C2服务器被用来下载一个被识别为StealDeal（也称为SneakyStealer）的窃取器。它从网络浏览器中窃取保存的凭证和浏览历史。

结论

为了分发RomCom后门程序，Void Rabisu正在使用最致命和最有效的攻击策略之一：社会工程结合网络钓鱼。由于这种策略涉及到人的因素，没有任何安全软件可以提供完全的防护。因此，该地区的政府和公共事业机构被敦促关注为员工提供定期的安全意识和培训计划。

原文始发于微信公众号（XDsecurity）：威胁情报信息分享|APT组织Void Rabisu利用RomCom进行地缘政治攻击