CERT-UA 警告称，古巴勒索软件子公司瞄准乌克兰

Hackernews 编译，转载请注明出处：

乌克兰计算机紧急响应小组（CERT-UA）警告称，当地关键基础设施可能受到古巴勒索软件攻击。

2022年10月21日，乌克兰CERT-UA发现了一场冒充乌克兰武装部队总参谋部新闻处的网络钓鱼活动。网络钓鱼邮件包括一个第三方网站的链接，用于下载标题为“Наказ_309.pdf”的文档。

该网页旨在诱骗读者更新软件（PDF阅读器）来阅读文档。

单击“下载”按钮后，名为“AcroRdrDCx642200120169_uk_UA.exe”的可执行文件将下载到计算机。

运行上述可执行文件将解码并运行“rmtpak.dll”DLL文件，即ROMCOM RAT。

研究人员将RomCom后门的使用与黑客Tropical Scorpius（又名UNC2596）联系在一起，CERT-UA将其追踪为UAC-0132，负责古巴勒索软件的分发。

乌克兰发布的警报称：“考虑到RomCom后门的使用以及相关文件的其他功能，我们认为可以将检测到的活动与Tropical Scorpius (Unit42)，又名UNC2596（Mandiant）的活动联系起来，该集团负责古巴勒索软件的分发；CERT-UA 在标识符UAC-0132下监视活动。”

从2022年5月初开始，Palo Alto Network的第42分队观察到Tropical Scorpius黑客使用新颖的工具和技术部署了古巴勒索软件，包括定制后门RomCom。

警报还包括此次活动的妥协指标。

消息来源：securityaffairs，译者：Shirley；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文