Un acteur menaçant appelé « RomCom » cible des organisations soutenant l’Ukraine et les invités du prochain sommet de l’OTAN qui doit commencer demain à Vilnius, en Lituanie.
L’équipe de recherche et de renseignement de BlackBerry a récemment découvert deux documents malveillants se faisant passer pour l’organisation ukrainienne du Congrès mondial et des sujets liés au sommet de l’OTAN pour attirer des cibles sélectionnées.
Les attaquants ont utilisé une réplique du site Web ukrainien du Congrès mondial hébergée sur un domaine « .info » au lieu du vrai qui utilise un domaine de premier niveau « .org ».
Les documents téléchargés sont accompagnés d’un code malveillant qui exploite le format de fichier RTF pour initier des connexions à des ressources externes, chargeant éventuellement des logiciels malveillants sur le système de la victime.
Fond trouble RomCom
Le malware RomCom a été découvert pour la première fois par l’Unité 42 en août 2022, qui l’a lié à une filiale de Cuba Ransomware, une évaluation avec laquelle l’équipe ukrainienne d’intervention d’urgence informatique (CERT-UA) semble être d’accord sur la base d’un rapport d’octobre 2022.
Cependant, l’analyse de BlackBerry de cette époque a indiqué que les acteurs de la menace derrière RomCom suivent une approche de ciblage plutôt mondialisée, soulignant que le rançongiciel Cuba n’a jamais été enclin au hacktivisme.
En novembre 2022, la société de cybersécurité a découvert une nouvelle campagne RomCom qui abusait de marques de logiciels et utilisait de faux sites en anglais et en ukrainien pour cibler des victimes sans méfiance avec des installateurs malveillants.
Plus récemment, en mai 2023, un rapport de Trend Micro sur la dernière campagne de RomCom a montré que les acteurs de la menace usurpaient désormais l’identité de logiciels légitimes comme Gimp et ChatGPT ou créaient de faux sites de développeurs de logiciels pour pousser leur porte dérobée aux victimes via Google Ads et des techniques de référencement noir.
Derniers détails de la campagne
La dernière campagne analysée par BlackBerry utilise des liens de téléchargement sur un domaine typo-squatté pour le site du Congrès mondial ukrainien, probablement promu par harponnage, pour infecter les visiteurs avec des logiciels malveillants.
Les documents téléchargés à partir du faux site Web établissent une connexion sortante lors du lancement et téléchargent des composants supplémentaires à partir du serveur de commande et de contrôle (C2) de l’attaquant.
Le composant supplémentaire observé au cours de la recherche est un script utilisant la vulnérabilité Follina (CVE-2022-30190) de l’outil de diagnostic de support (MSDT) de Microsoft.
« Si elle est exploitée avec succès, elle permet à un attaquant de mener une attaque basée sur l’exécution de code à distance (RCE) via la création d’un document .docx ou .rtf malveillant conçu pour exploiter la vulnérabilité », explique le rapport.
« Ceci est réalisé en tirant parti du document spécialement conçu pour exécuter une version vulnérable de MSDT, qui à son tour permet à un attaquant de transmettre une commande à l’utilitaire pour exécution », ajoute le rapport.
« Cela inclut de le faire avec le même niveau de privilèges que la personne qui a exécuté le document malveillant […] et est efficace même lorsque les macros sont désactivées et même lorsqu’un document est ouvert en mode protégé. » – BlackBerry
La dernière étape de l’attaque consiste à charger la porte dérobée RomCom sur la machine, qui arrive sous la forme d’un fichier DLL x64 nommé « Calc.exe ».
RomCom se connecte au C2 pour enregistrer la victime et renvoie des détails tels que le nom d’utilisateur, les informations sur l’adaptateur réseau et la taille de la RAM de l’ordinateur compromis.
La porte dérobée écrit finalement ‘security.dll’ pour s’exécuter automatiquement au redémarrage pour la persistance et attend les commandes du C2, qui, sur la base des rapports précédents, incluent l’exfiltration de données, le téléchargement de charges utiles supplémentaires, la suppression de fichiers ou de répertoires, la génération de processus avec un PID usurpé, ainsi que le démarrage d’un reverse shell.
BlackBerry pense que la campagne analysée est soit une opération RomCom renommée, soit une opération qui inclut des membres principaux de l’ancien groupe qui prennent en charge de nouvelles activités de menace.
Le rapport des chercheurs comprend des indicateurs de compromis pour les documents leurres, les logiciels malveillants de deuxième étape, ainsi que les adresses IP et le domaine utilisés pour la campagne.