Tác nhân đe dọa đằng sau một trojan truy cập từ xa có tên RomCom RAT đã được quan sát thấy nhắm vào các tổ chức quân sự Ukraine như một phần của chiến dịch lừa đảo bằng giáo mới bắt đầu vào ngày 21 tháng 10 năm 2022.
Sự phát triển đánh dấu một sự thay đổi trong phương thức hoạt động của kẻ tấn công, trước đây được cho là do giả mạo các ứng dụng hợp pháp như Advanced IP Scanner và pdfFiller để thả cửa hậu trên các hệ thống bị xâm phạm.
"Chiến dịch 'Advanced IP Scanner' ban đầu diễn ra vào ngày 23 tháng 7 năm 2022," nhóm nghiên cứu và tình báo BlackBerry cho biết. "Một khi nạn nhân cài đặt một gói Trojanized, nó sẽ thả RomCom RAT vào hệ thống."
Trong khi các lần lặp lại trước đây của chiến dịch liên quan đến việc sử dụng Máy quét IP nâng cao trojanized, tập thể đối thủ không xác định kể từ đó đã chuyển sang pdfFiller kể từ ngày 20 tháng 10, cho thấy một nỗ lực tích cực đối với một phần của kẻ thù để tinh chỉnh các chiến thuật và cản trở việc phát hiện.
Các trang web trông giống nhau này lưu trữ một gói trình cài đặt giả mạo dẫn đến việc triển khai RomCom RAT, có khả năng thu thập thông tin và chụp ảnh màn hình, tất cả đều được xuất sang máy chủ từ xa.
Hoạt động mới nhất của đối thủ nhằm chống lại quân đội Ukraine là một sự khởi đầu ở chỗ nó sử dụng một email lừa đảo với một liên kết được nhúng làm vectơ lây nhiễm ban đầu, dẫn đến một trang web giả mạo bỏ trình tải xuống giai đoạn tiếp theo.
Trình tải xuống này, được ký bằng chứng chỉ kỹ thuật số hợp lệ từ "Blythe Consulting sp. z o.o." để có thêm một lớp trốn tránh, sau đó được sử dụng để trích xuất và chạy phần mềm độc hại RomCom RAT. BlackBerry cho biết cùng một người ký được sử dụng bởi phiên bản hợp pháp của pdfFiller.
Bên cạnh quân đội Ukraine, các mục tiêu khác của chiến dịch bao gồm các công ty CNTT, môi giới thực phẩm và các thực thể sản xuất thực phẩm ở Mỹ, Brazil và Philippines.
"Chiến dịch này là một ví dụ điển hình về ranh giới mờ nhạt giữa các tác nhân đe dọa do tội phạm mạng thúc đẩy và các tác nhân đe dọa tấn công có chủ đích", Dmitry Bestuzhev, nhà nghiên cứu mối đe dọa tại BlackBerry, nói với The Hacker VN.
"Trước đây, cả hai nhóm đều hành động độc lập, dựa vào các công cụ khác nhau. Ngày nay, các tác nhân đe dọa tấn công có chủ đích phụ thuộc nhiều hơn vào công cụ truyền thống, khiến việc phân bổ trở nên khó khăn hơn.