Украина, НАТО и кибератаки: формула успеха группы RomCom
NewsMakerПока союзники Украины ожидают саммита НАТО, хакеры призывают политиков одобрить вступление Украины в блок
Команда исследователей безопасности Blackberry утверждает , что обнаружила хакерскую группу, которая атакует сторонников Украины вредоносным ПО перед саммитом НАТО в Вильнюсе (11-12 июля).
По данным команды Blackberry Research and Intelligence Team, хакерская группа RomCom использует поддельные документы, которые имитируют призыв к присоединению Украины к НАТО - одной из ключевых тем обсуждения на саммите.
Кампания включает в себя 2 метода атаки – spear-phishing ( целевой фишинг ) и typosquatting , внесение незаметных опечаток в легитимные URL-адреса. Хакеры создали вредоносный документ, который распространяется от лица Всемирного конгресса украинцев (ВКУ) среди сторонников Украины. Документ призывает получателя перейти по ссылке на фишинговый сайт «ukrainianworldcongress.info» (исходный сайт «.org»).
Легитимный (слева) и фишинговый (справа) сайт Конгресса
Когда жертва переходит на сайт, на её устройстве развёртывается вредоносное ПО, которое собирает имя пользователя и IP-адрес, чтобы местоположение жертвы.
Цепочка атак использует 0day-уязвимость Microsoft CVE-2022-30190 ( Follina ), которая была обнаружена в мае прошлого года. При успешном использовании ошибка позволяет атакующему удалённо выполнить код (Remote Code Execution, RCE ) с помощью создания вредоносного документа «.docx» или «.rtf». Эта техника эффективна даже при отключенных макросах и открытии документа в режиме безопасного просмотра. По данным Blackberry, такой вектор атаки был одним из самых активно эксплуатируемых в прошлом году.
Команда по кибербезопасности следит за RomCom с прошлого года, когда обнаружила атаки группировки на украинские военные учреждения . Сходство кода в двух кампаниях позволяет заключить, что за ними стоит одна и та же хакерская группа.
Украина уже подвергалась кибератакам с использованием уязвимости Follina. Так, в июне 2022 года команда реагирования на компьютерные инциденты Украины (CERT-UA) сообщила о фишинговой кампании, в рамках которой хакеры Sandworm рассылали вредоносные письма украинским СМИ для развёртывания вредоносного ПО.
Команда исследователей безопасности Blackberry утверждает , что обнаружила хакерскую группу, которая атакует сторонников Украины вредоносным ПО перед саммитом НАТО в Вильнюсе (11-12 июля).
По данным команды Blackberry Research and Intelligence Team, хакерская группа RomCom использует поддельные документы, которые имитируют призыв к присоединению Украины к НАТО - одной из ключевых тем обсуждения на саммите.
Кампания включает в себя 2 метода атаки – spear-phishing ( целевой фишинг ) и typosquatting , внесение незаметных опечаток в легитимные URL-адреса. Хакеры создали вредоносный документ, который распространяется от лица Всемирного конгресса украинцев (ВКУ) среди сторонников Украины. Документ призывает получателя перейти по ссылке на фишинговый сайт «ukrainianworldcongress.info» (исходный сайт «.org»).
Легитимный (слева) и фишинговый (справа) сайт Конгресса
Когда жертва переходит на сайт, на её устройстве развёртывается вредоносное ПО, которое собирает имя пользователя и IP-адрес, чтобы местоположение жертвы.
Цепочка атак использует 0day-уязвимость Microsoft CVE-2022-30190 ( Follina ), которая была обнаружена в мае прошлого года. При успешном использовании ошибка позволяет атакующему удалённо выполнить код (Remote Code Execution, RCE ) с помощью создания вредоносного документа «.docx» или «.rtf». Эта техника эффективна даже при отключенных макросах и открытии документа в режиме безопасного просмотра. По данным Blackberry, такой вектор атаки был одним из самых активно эксплуатируемых в прошлом году.
Команда по кибербезопасности следит за RomCom с прошлого года, когда обнаружила атаки группировки на украинские военные учреждения . Сходство кода в двух кампаниях позволяет заключить, что за ними стоит одна и та же хакерская группа.
Украина уже подвергалась кибератакам с использованием уязвимости Follina. Так, в июне 2022 года команда реагирования на компьютерные инциденты Украины (CERT-UA) сообщила о фишинговой кампании, в рамках которой хакеры Sandworm рассылали вредоносные письма украинским СМИ для развёртывания вредоносного ПО.