RomCom apunta a la Cumbre de la OTAN y a organizaciones benefactoras de Ucrania en el extranjero

Los expertos en seguridad de BlackBerry han identificado a los responsables del RAT RomCom como los posibles actores de amenazas detrás de los ataques de phishing dirigidos a la próxima Cumbre de la OTAN que tendrá lugar en Vilnius. Además, se ha detectado que esta misma organización ha dirigido sus ataques a una entidad que brinda apoyo a Ucrania en el extranjero.

Según la investigación llevada a cabo por el equipo de Investigación e Inteligencia de Amenazas de BlackBerry, se descubrieron dos documentos maliciosos enviados desde una dirección IP húngara el 4 de julio de 2023.

El grupo RomCom, también conocido como Tropical Scorpius, UNC2596 o Void Rabisu, ha sido identificado previamente como responsable de ataques cibernéticos contra políticos ucranianos que mantienen estrechas relaciones con países occidentales, también de una campaña contra una organización de atención médica con sede en Estados Unidos que brinda asistencia a los refugiados que huyen del país devastado por la guerra.

Los ataques realizados por este grupo tienen una motivación geopolítica y se basan en el envío de correos electrónicos de spear-phishing para redirigir a las víctimas a sitios web falsificados que alojan versiones troyanizadas de software popular. Entre los objetivos se encuentran el ámbito militar, las cadenas de suministro de alimentos y las empresas de tecnología de la información.

BlackBerry ha identificado recientemente dos documentos de señuelo utilizados por los atacantes, los cuales se hacen pasar por el Congreso Mundial Ucraniano.

Estos documentos son los siguientes:

Estos documentos maliciosos incluyen una carta falsa que declara el apoyo a la inclusión de Ucrania en la OTAN. Al abrir los archivos adjuntos, se desencadena una serie de ejecuciones sofisticadas que implican la descarga de payloads desde un servidor remoto. Estos payloads aprovechan una vulnerabilidad de seguridad llamada «Follina» (CVE-2022-30190), que afecta a la Herramienta de Diagnóstico de Soporte de Microsoft (MSDT) y que ya ha sido corregida. El resultado final es la instalación del RAT RomCom, un programa ejecutable en lenguaje C++ diseñado para recopilar información del sistema comprometido y tomar el control remoto del mismo.

«Según la naturaleza de la próxima Cumbre de la OTAN y los documentos de señuelo relacionados enviados por los actores de amenazas, las posibles víctimas son representantes de Ucrania, organizaciones extranjeras e individuos que brindan apoyo a Ucrania».

Declaraciones de BlackBerry

Además, BlackBerry ha señalado que, según la información disponible, tienen un nivel de confianza de medio a alto para concluir que esta operación está vinculada a RomCom, aunque posiblemente bajo una nueva identidad o con la participación de algunos de los miembros del grupo de amenazas de RomCom que han iniciado una nueva campaña respaldada por un nuevo grupo.

Más información:

• https://blogs.blackberry.com/en/2023/07/romcom-targets-ukraine-nato-membership-talks-at-nato-summit
• https://www.virustotal.com/gui/file/a61b2eafcf39715031357df6b01e85e0d1ea2e8ee1dfec241b114e18f7a1163f
• https://www.virustotal.com/gui/file/3a3138c5add59d2172ad33bc6761f2f82ba344f3d03a2269c623f22c1a35df97
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190

La entrada RomCom apunta a la Cumbre de la OTAN y a organizaciones benefactoras de Ucrania en el extranjero se publicó primero en Una al Día.