通过使用 SolarWinds Network Performance Monitor、KeePass 密码管理器和 PDF Reader Pro 等恶意版本的软件,RomCom RAT 的运营商正在继续发展他们的活动。
该行动的目标包括乌克兰的受害者和英国等特定英语国家
“鉴于目标的地理位置和当前的地缘政治形势,像 RomCom RAT 威胁演员这样的黑客不太可能出于网络犯罪动机,”黑莓威胁研究和情报团队在一项新的分析中表示。
这家加拿大网络安全公司披露了一项针对乌克兰实体的鱼叉式网络钓鱼活动,目的是部署一种名为 RomCom RAT 的远程访问木马,在披露一周后,最新的调查结果逐渐浮出水面。
还观察到未知威胁参与者利用 Advanced IP Scanner 和 pdfFiller 的木马化变体作为植入程序来分发植入程序。
该活动的最新迭代需要设置具有相似域名的诱饵相似网站,然后上传带有恶意软件的恶意软件安装程序包,然后向目标受害者发送网络钓鱼电子邮件。
“从假冒的 SolarWinds 网站下载免费试用版时,会出现一个合法的注册表单,”研究人员解释说。
“如果填写,真正的 SolarWinds 销售人员可能会联系受害者以跟进产品试用。该技术误导受害者相信最近下载和安装的应用程序是完全合法的。”
根据 Palo Alto Networks Unit 42 的说法,RomCom RAT 的使用也与与古巴勒索软件和工业间谍相关的威胁行为者有关,该组织正在跟踪以星座为主题的绰号 Tropical Scorpius 下的勒索软件组。
鉴于网络犯罪生态系统的相互关联性,目前尚不清楚这两组活动是否共享任何联系,或者恶意软件是否作为服务出售给其他威胁行为者。
简体中文 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
Українська 
فارسی 
Français du Canada