Агент угроз, известный как RomCom, активно развертывает новые кампании, направленные на жертв в Украине и англоязычных регионах. Команда BlackBerry Threat Research and Intelligence Team обнаружила новые кампании, которые подделывают пакеты программного обеспечения популярных брендов. Великобритания, возможно, является новой целью, в то время как Украина по-прежнему находится в центре внимания.
Blackberry обнаружила, что RomCom использует в своих кампаниях следующие продукты: SolarWinds Network Performance Monitor, KeePass Open-Source Password Manager и PDF Reader Pro.
При подготовке к атаке агент угроз RomCom действует по следующей упрощенной схеме: соскабливает оригинальный легитимный HTML-код у поставщика для подделки, регистрирует вредоносный домен, похожий на легитимный, троянизирует легитимное приложение, загружает вредоносный пакет на сайт-приманку, рассылает жертвам целевые фишинговые письма или, в некоторых случаях, использует дополнительные векторы заражения.
RomCom RAT IOCs
Indicators of Compromise
MD5
- 1a21a1e626fd342e794bcc3b06981d2c
- 4e4eca58b896bdb6db260f21edc7760a
- 550f42c5b555893d171285dc8b15b4b5
- 6310a2063687800559ae9d65cff21b0a
- 7c003b4f8b3c0ab0c3f8cb933e93d301
- 8284421bbb94f3c37f94899cdcd19afd
- a7172aef66bb12e1bb40a557bb41e607
- cb933f1c913144a8ca6cfcfd913d6d28
- d1a84706767bfb802632a262912e95a8
SHA256
- 246dfe16a9248d7fb90993f6f28b0ebe87964ffd2dcdb13105096cde025ca614
- 3252965013ec861567510d54a97446610edba5da88648466de6b3145266386d9
- 596eaef93bdcd00a3aedaf6ad6d46db4429eeba61219b7e01b1781ebbf6e321b
- 5f187393acdeb67e76126353c74b6080d3e6ccf28ae580658c670d8b6e4aacc1
- 8b8dff5d30802fd79b76ee1531e7d050184a07570201ef1cd83a7bb8fa627cb0
- 9d3b268416d3fab4322cc916d32e0b2e8fa0de370acd686873d1522306124fd2
- abe9635adbfee2d2fbaea140625c49abe3baa29c44fb53a65a9cda02121583ee
- ac09cbfee4cf89d7b7a755c387e473249684f18aa699eb651d119d19e25bff34
- f7013ce417fcba0f36c4b9bf5f8f6e0e2b14d6ed33ff4d384c892773508e932e