Gli autori dell’attacco informatico RomCom RAT sono sospettati di aver effettuato attacchi di phishing mirati al prossimo vertice della NATO a Vilnius e a un’organizzazione che sostiene l’Ucraina all’estero. Le scoperte provengono dal team di ricerca e intelligence sulle minacce di BlackBerry, che ha individuato due documenti malevoli inviati da un indirizzo IP ungherese il 4 luglio 2023.
Gli attacchi di RomCom RAT
RomCom, noto anche come Tropical Scorpius, UNC2596 e Void Rabisu, è stato recentemente osservato mentre effettuava attacchi informatici contro politici ucraini che lavorano a stretto contatto con i paesi occidentali e un’organizzazione sanitaria statunitense che aiuta i rifugiati in fuga dal paese in guerra. Le catene di attacco messe in atto dal gruppo sono motivate geopoliticamente e hanno utilizzato email di spear-phishing per indirizzare le vittime a siti web clonati che ospitano versioni trojanizzate di software popolari. I bersagli includono militari, catene di approvvigionamento alimentare e aziende IT.
I documenti esca di BlackBerry
I documenti esca più recenti identificati da BlackBerry impersonano il Congresso Mondiale Ucraino, un’organizzazione non profit legittima, e presentano una falsa lettera che dichiara il sostegno all’inclusione dell’Ucraina nella NATO. “Nonostante non abbiamo ancora scoperto il vettore di infezione iniziale, è probabile che l’attore della minaccia si sia affidato a tecniche di spear-phishing, inducendo le sue vittime a cliccare su una replica appositamente creata del sito web del Congresso Mondiale Ucraino”, ha dichiarato l’azienda canadese in un’analisi pubblicata la scorsa settimana.
