Її об’єкти – військовослужбовиці, політичні лідерки та громадські активістки, що працюють над питаннями гендерної рівності.
Компанія з кібербезпеки Trend Micro приписує ці атаки з використанням оновленої версії RomCom RAT зловмисникам із групи Void Rabisu, відомої ще як Storm-0978, UNC2596 та Tropical Scorpius, і, ймовірно, також пов’язаної із програмою-вимагачем Cuba.
Це хакерське угруповання є вельми незвичайним, бо проводить і фінансові, і шпигунські атаки, використовуючи виключно RomCom RAT. Влітку цього року кіберзлочинці з Void Rabisu атакували українських політиків, закордонні організації, які підтримують НАТО і Україну в її війні з росією, як-от Світовий конгрес українців, і навіть благодійні фонди, що допомагають біженцям.
Шкідливе ПЗ RomCom RAT здатне взаємодіяти з сервером керування та контролю (C&C) для отримання команд та виконання їх на комп’ютері жертви, а також оснащене засобами уникнення безпекового контролю. RomCom RAT зазвичай поширюється через цільові фішингові електронні листи і фальшиві рекламні оголошення у пошукових системах Google і Bing, щоб обманом змусити користувачів відвідати сайти-приманки із зараженими троянами версіями легальних програм.
Остання серія атак, виявлена фахівцями Trend Micro у серпні 2023 року, також використовує RomCom RAT, але це оновлена і зменшена версія зловмисного ПЗ, що поширюється через вебсайт wplsummit[.]com – копію легального wplsummit[. .]org домену. На сайті є посилання на теку Microsoft OneDrive з виконуваним файлом «Неопубліковані зображення 1-20230802T122531-002-sfx.exe», розміром 21,6 МБ, який імітує теку з фотографіями жінок-політичних лідерів. 56 зображень, отриманих зловмисниками з окремих публікацій на різних платформах, завантажуються у цільову систему як приманка, а разом з ними туди з віддаленого сервера потрапляє і файл DLL.
В оновленій версії RomCom RAT можна виконувати довільні команди, завантажувати та вивантажувати файли, отримувати інформацію про систему та навіть видаляти себе зі скомпрометованого хосту. Мінімізуючи зловмисне ПЗ до найважливіших функцій, хакери зменшують його цифровий слід і ускладнюють виявлення. І хоча прямих доказів, що зловмисники з Void Rabisu спонсоруються державою, немає, вельми ймовірно, що це – матеріально вмотивовані хакери, втягнуті в кібершпигунство задля подвійного, політичного і фінансового зиску.
