Les opérateurs du malware RomCom RAT continuent de faire évoluer leurs campagnes en distribuant des versions malveillantes de logiciels tels que SolarWinds Network Performance Monitor, le gestionnaire de mots de passe KeePass et PDF Reader Pro via de faux sites Web imitateurs. Les cibles de l’opération sont des victimes en Ukraine et certains pays anglophones comme le Royaume-Uni. « Compte tenu de la géographie des cibles et de la situation géopolitique actuelle, il est peu probable que l’acteur de la menace RomCom RAT soit motivé par la cybercriminalité », a déclaré l’équipe BlackBerry Threat Research and Intelligence dans une nouvelle analyse. Les dernières découvertes surviennent une semaine après que la société canadienne de cybersécurité a divulgué une campagne de harponnage visant des entités ukrainiennes pour déployer un cheval de Troie d’accès à distance appelé RomCom RAT. L’acteur inconnu de la menace a également été observé en utilisant des variantes trojanisées d’Advanced IP Scanner et de pdfFiller comme compte-gouttes pour distribuer l’implant. La dernière itération de la campagne implique la mise en place de sites Web leurres avec un nom de domaine similaire, suivi du téléchargement d’un ensemble d’installation contenant des logiciels malveillants du logiciel malveillant, puis de l’envoi d’e-mails de phishing aux victimes ciblées.

« Lors du téléchargement d’un essai gratuit à partir du site falsifié de SolarWinds, un formulaire d’inscription légitime apparaît », ont expliqué les chercheurs. « Si elle est remplie, le vrai personnel de vente de SolarWinds pourrait contacter la victime pour assurer le suivi de l’essai du produit. Cette technique induit la victime en erreur en lui faisant croire que l’application récemment téléchargée et installée est tout à fait légitime. » Ce n’est pas seulement le logiciel SolarWinds. D’autres versions usurpées impliquent le populaire gestionnaire de mots de passe KeePass et PDF Reader Pro, y compris en ukrainien. L’utilisation de RomCom RAT a également été liée à des acteurs de la menace associés au rançongiciel cubain et à l’espion industriel, selon l’unité 42 de Palo Alto Networks, qui suit la filiale du rançongiciel sous le surnom de la constellation Tropical Scorpius. Compte tenu de la nature interconnectée de l’écosystème cybercriminel, il n’est pas immédiatement évident si les deux ensembles d’activités partagent des connexions ou si le logiciel malveillant est proposé à la vente en tant que service à d’autres acteurs de la menace. « La connexion apparente de RomCom aux groupes Cuba Ransomware et Industrial Spy est basée sur le lien de configuration réseau, qui pourrait également être utilisé comme une distraction », a déclaré Dmitry Bestuzhev de BlackBerry. « Compte tenu de la nature des cibles et de la situation géographique des victimes, il est évident que la motivation n’est pas financière. »

Mise à jour : l’unité 42 de Palo Alto Networks a déclaré avoir également découvert une instance de RomCom RAT emballée en tant qu’installateur pour le logiciel Veeam Backup & Replication hébergé sur un domaine malveillant nommé « wveeam[.]com ». Comme dans le cas de SolarWinds, le téléchargement du fichier d’installation redirige la victime vers un formulaire qui invite la victime à saisir ses coordonnées personnelles. De plus, la taille du programme d’installation modifié est supérieure à 10 Go, ce qui lui permet de contourner les solutions de sécurité automatisées. « Ces outils sont généralement utilisés par les organisations occidentales de taille moyenne », a déclaré Pete Renals, chercheur principal à l’unité 42, à breachtrace dans un communiqué. « Sur la base de l’analyse par Unit 42 du ciblage, de l’infrastructure et de l’emballage de RomCom, cela suggère que cette campagne est plus large qu’un objectif APT. » « Pour l’instant, nous n’avons vu que le malware RomCom utilisé par Cuba ransomware », a ajouté Doel Santos, chercheur principal sur les menaces à l’Unité 42.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *