Neue Cyberattacke gegen weibliche politische Führungskräfte
Die digitale Schlacht um Gleichstellung und Sicherheit hat begonnen: Eine neue Kampagne hat es auf Militärangehörige der Europäischen Union und politische Entscheidungsträger abgesehen, die sich für die Gleichstellung der Geschlechter engagieren. Ihr Angriffswerkzeug? Eine überarbeitete Version des RomCom RAT, auch bekannt als PEAPOD.
Trend Micro hat die Angriffe auf einen Bedrohungsakteur zurückverfolgt, den das Unternehmen als „Void Rabisu“ identifiziert. Dieser Akteur ist auch unter den Namen Storm-0978, Tropical Scorpius und UNC2596 bekannt und wird mit der Ransomware Cuba in Verbindung gebracht. Bemerkenswert ist, dass dieses Angreiferkollektiv sowohl finanziell motivierte als auch Spionageangriffe durchführt, was die klare Trennlinie zwischen den beiden Arten von Angriffen verschwimmen lässt. Die Verwendung von RomCom RAT ist exklusiv mit dieser Gruppe verbunden. Im vergangenen Jahr waren die Ziele der Angriffe, bei denen diese Backdoor verwendet wurde, hauptsächlich die Ukraine und Länder, die die Ukraine in ihrem Konflikt mit Russland unterstützen.
Im Juli dieses Jahres hat Microsoft Void Rabisu mit der Nutzung einer Sicherheitslücke namens CVE-2023-36884 in Verbindung gebracht. Diese Schwachstelle betrifft Office und Windows HTML und erlaubt die Ausführung von Remote-Code. Sie wurde ausgenutzt, indem speziell präparierte Microsoft Office-Dokumente verwendet wurden, die in Bezug zum ukrainischen Weltkongress standen.
RomCom RAT kann mit einem Command-and-Control-Server interagieren, um Befehle zu empfangen und sie auf dem infizierten Computer auszuführen. Diese Malware entwickelt offenbar ständig ausgeklügelte neue Techniken zur Umgehung von Sicherheitsmaßnahmen. Sie verbreitet sich in der Regel über gezielte Spear-Phishing-E-Mails und gefälschte Anzeigen in Suchmaschinen wie Google und Bing. Diese Tricks sollen Nutzer auf gefälschte Websites locken, die getarnte Versionen legitimer Anwendungen enthalten.
Trend Micro bezeichnet „Void Rabisu“ als ein herausragendes Beispiel für eine Kombination von Techniken und Verfahren, die sowohl von Cyberkriminellen als auch von staatlich unterstützten Akteuren eingesetzt werden, wobei letztere hauptsächlich Spionageziele verfolgen.
Die jüngsten Angriffe, die das Unternehmen im August 2023 entdeckte, liefern ebenfalls RomCom RAT. Allerdings handelt es sich dabei um eine aktualisierte und abgespeckte Version der Malware, die über eine Website namens wplsummit[.]com verbreitet wird, bei der es sich um eine Nachbildung der legitimen wplsummit[.]org-Domäne handelt. Auf der Website befindet sich ein Link zu einem Microsoft OneDrive-Ordner, der eine ausführbare Datei mit dem Namen „Unpublished Pictures 1-20230802T122531-002-sfx.exe“ enthält, eine 21,6 MB große Datei, die einen Ordner mit Fotos vom Women Political Leaders (WPL) Summit im Juni 2023 imitieren soll.
Bei der Binärdatei handelt es sich um einen Downloader, der 56 Bilder als Täuschung auf dem Zielsystem ablegt, während er eine DLL-Datei von einem Remote-Server abruft. Diese Fotos stammen angeblich von einzelnen Beiträgen auf verschiedenen Social-Media-Plattformen wie LinkedIn, X (früher bekannt als Twitter) und Instagram, die von dem bösartigen Akteur erstellt wurden. Die DLL-Datei ihrerseits nimmt Kontakt mit einer anderen Domain auf, um das PEAPOD-Artefakt der dritten Angriffsstufe zu holen. Dieses unterstützt nun lediglich noch insgesamt 10 Befehle, während es bei seinem Vorgänger 42 Befehle waren.
Die überarbeitete Version von Void Rabisu ist trotz ihrer Einfachheit äußerst leistungsfähig. Sie kann vielfältige Aufgaben erfüllen, wie das Ausführen beliebiger Befehle, das Herunterladen und Hochladen von Dateien, das Sammeln von Systeminformationen und sogar die eigene Deinstallation vom infizierten Host. Diese Malware beschränkt sich auf grundlegende Funktionen, um ihren digitalen Fingerabdruck zu minimieren und die Entdeckung zu erschweren.
Trend Micro stellt fest, dass es keine konkreten Beweise für eine staatliche Unterstützung von Void Rabisu gibt. Es könnte jedoch sein, dass diese Bedrohung von einer Gruppe finanziell motivierter Krimineller aus dem Untergrund stammt, die aufgrund der besonderen geopolitischen Umstände, die durch den Konflikt in der Ukraine verursacht wurden, in Cyber-Spionageaktivitäten verwickelt ist.