CERT – UA警告说,古巴赎金附属公司的目标是乌克兰

CERT - UA警告说,古巴赎金附属公司的目标是乌克兰

乌克兰计算机应急响应小组( CERT-UA )警告潜在的针对当地关键基础设施的古巴勒索软件攻击。

 2022年10月21日,乌克兰中央广播电视总台( CERT-UA )揭露了一场冒充乌克兰武装部队总参谋部新闻处的网络钓鱼活动。网络钓鱼信息包括一个指向第三方网站的链接,用于下载一份名为”  _ 309.pdf “的文件。

网页的制作是为了欺骗读者更新软件( PDF Reader )来阅读文档。

单击”下载”按钮后,名为” AcroRdrDCx642200120169 _ uk _ UA.exe “的可执行文件将下载到计算机。

运行上述可执行文件将解码并运行” rmtpak.dll ” DLL文件,该文件是ROMCOM RAT。

研究人员将RomCom后门的使用与威胁行为者Tropical天蝎座(又名UNC2596 )相关联,被CERT – UA追踪为UAC – 0132,负责分发古巴勒索软件。

考虑到RomCom后门的使用,以及相关文件的其他特征,我们认为有可能将检测到的活动与负责分发古巴赎金的热带天蝎座( Unit42 ) aka UNC2596 (美国麦迪安网路安全公司)组的活动相关联;CERT-UA监视标识符UAC-0132下的活动。’读取乌克兰CERT发布的警报。

考虑到RomCom后门的使用,以及相关文件的其他特征,我们认为有可能将检测到的活动与负责分发古巴赎金的热带天蝎座( Unit42 ) aka UNC2596 (美国麦迪安网路安全公司)组的活动相关联;CERT – UA在标识符UAC – 0132下监测活性。

从2022年5月初开始,帕洛阿尔托网络的第42小组观察到热带天蝎座威胁行动者使用新的工具和技术部署古巴Ransomware,包括自定义后门RomCom。

3

在线客服