CERT – UA警告说，古巴赎金附属公司的目标是乌克兰

乌克兰计算机应急响应小组( CERT-UA )警告潜在的针对当地关键基础设施的古巴勒索软件攻击。

 2022年10月21日，乌克兰中央广播电视总台( CERT-UA )揭露了一场冒充乌克兰武装部队总参谋部新闻处的网络钓鱼活动。网络钓鱼信息包括一个指向第三方网站的链接，用于下载一份名为”  _ 309.pdf “的文件。

网页的制作是为了欺骗读者更新软件( PDF Reader )来阅读文档。

单击”下载”按钮后，名为” AcroRdrDCx642200120169 _ uk _ UA.exe “的可执行文件将下载到计算机。

运行上述可执行文件将解码并运行” rmtpak.dll ” DLL文件，该文件是ROMCOM RAT。

研究人员将RomCom后门的使用与威胁行为者Tropical天蝎座(又名UNC2596 )相关联，被CERT – UA追踪为UAC – 0132，负责分发古巴勒索软件。

考虑到RomCom后门的使用，以及相关文件的其他特征，我们认为有可能将检测到的活动与负责分发古巴赎金的热带天蝎座( Unit42 ) aka UNC2596 (美国麦迪安网路安全公司)组的活动相关联；CERT-UA监视标识符UAC-0132下的活动。’读取乌克兰CERT发布的警报。

考虑到RomCom后门的使用，以及相关文件的其他特征，我们认为有可能将检测到的活动与负责分发古巴赎金的热带天蝎座( Unit42 ) aka UNC2596 (美国麦迪安网路安全公司)组的活动相关联；CERT – UA在标识符UAC – 0132下监测活性。

从2022年5月初开始，帕洛阿尔托网络的第42小组观察到热带天蝎座威胁行动者使用新的工具和技术部署古巴Ransomware，包括自定义后门RomCom。