Украина, НАТО и кибератаки: формула успеха группы RomCom

Команда исследователей безопасности Blackberry утверждает , что обнаружила хакерскую группу, которая атакует сторонников Украины вредоносным ПО перед саммитом НАТО в Вильнюсе (11-12 июля).

По данным команды Blackberry Research and Intelligence Team, хакерская группа RomCom (Storm-0978, Tropical Scorpius, UNC2596, Void Rabisu) использует поддельные документы, которые имитируют призыв к присоединению Украины к НАТО - одной из ключевых тем обсуждения на саммите.

Кампания включает в себя 2 метода атаки – spear-phishing (целевой фишинг) и typosquatting, внесение незаметных опечаток в легитимные URL-адреса. Хакеры создали вредоносный документ, который распространяется от лица Всемирного конгресса украинцев (ВКУ) среди сторонников Украины. Документ призывает получателя перейти по ссылке на фишинговый сайт «ukrainianworldcongress.info» (исходный сайт «.org»).

Легитимный (слева) и фишинговый (справа) сайт Конгресса

Когда жертва переходит на сайт, на её устройстве развёртывается вредоносное ПО, которое собирает имя пользователя и IP-адрес, чтобы местоположение жертвы.

Цепочка атак использует 0day-уязвимость CVE-2023-36884 (оценка CVSS: 8,3) - уязвимость удаленного выполнения кода в Office и Windows HTML. Неисправленная 0day-уязвимость Microsoft Office и Windows позволяет удаленно выполнять код (Remote Code Execution, RCE) в контексте жертвы с использованием специально созданных «.docx» или «.rtf» документов Microsoft Office.

Такая техника эффективна даже при отключенных макросах и открытии документа в режиме безопасного просмотра. По данным Blackberry, такой вектор атаки был одним из самых активно эксплуатируемых в прошлом году.

Команда по кибербезопасности следит за RomCom с прошлого года, когда обнаружила атаки группировки на украинские военные учреждения . Сходство кода в двух кампаниях позволяет заключить, что за ними стоит одна и та же хакерская группа.