Агент угроз, известный как RomCom, проводит серию новых кампаний, которые используют возможности брендов SolarWinds, KeePass и PDF Technologies. Команда BlackBerry Threat Research and Intelligence Team обнаружила эти кампании при анализе сетевых артефактов, найденных в нашем недавнем отчете о RomComRAT, который был нацелен на украинские военные учреждения через поддельные версии программного обеспечения Advanced IP Scanner.
RomCom выдает себя за следующие продукты в своих кампаниях: SolarWinds Network Performance Monitor, KeePass Open-Source Password Manager и PDF Reader Pro.
Хотя Украина по-прежнему остается основной целью этой кампании, BlackBerry предпологаюь, что некоторые англоязычные страны, включая Великобританию, также являются объектом атаки. Это следует из условий обслуживания (TOS) двух вредоносных веб-сайтов и SSL-сертификатов недавно созданного командно-контрольного пункта (C2).
Учитывая географию целей и текущую геополитическую ситуацию, маловероятно, что агент угрозы RomCom RAT мотивирован киберпреступностью.
RomCom RAT IOCs
Indicators of Compromise
MD5
- 1a21a1e626fd342e794bcc3b06981d2c
- 4e4eca58b896bdb6db260f21edc7760a
- 550f42c5b555893d171285dc8b15b4b5
- 6310a2063687800559ae9d65cff21b0a
- 7c003b4f8b3c0ab0c3f8cb933e93d301
- 8284421bbb94f3c37f94899cdcd19afd
- a7172aef66bb12e1bb40a557bb41e607
- cb933f1c913144a8ca6cfcfd913d6d28
- d1a84706767bfb802632a262912e95a8
SHA256
- 246dfe16a9248d7fb90993f6f28b0ebe87964ffd2dcdb13105096cde025ca614
- 3252965013ec861567510d54a97446610edba5da88648466de6b3145266386d9
- 596eaef93bdcd00a3aedaf6ad6d46db4429eeba61219b7e01b1781ebbf6e321b
- 5f187393acdeb67e76126353c74b6080d3e6ccf28ae580658c670d8b6e4aacc1
- 8b8dff5d30802fd79b76ee1531e7d050184a07570201ef1cd83a7bb8fa627cb0
- 9d3b268416d3fab4322cc916d32e0b2e8fa0de370acd686873d1522306124fd2
- abe9635adbfee2d2fbaea140625c49abe3baa29c44fb53a65a9cda02121583ee
- ac09cbfee4cf89d7b7a755c387e473249684f18aa699eb651d119d19e25bff34
- f7013ce417fcba0f36c4b9bf5f8f6e0e2b14d6ed33ff4d384c892773508e932e