不知名的行为体正在部署”RomCom RAT”，以打击乌克兰军队

据观察，在2022年10月21日开始的新的猎枪运动中，有一个针对乌克兰军事机构的名为RomCom RAT的威胁行为者。

攻击者的工作方式发生了转变，而这一转变以前被归因于欺骗合法的应用程序，如高级IP扫描器和pdfFiller，在受损的系统上删除后门。

黑莓研究和情报团队说，最初的”高级IP扫描仪”活动发生在2022年7月23日。一旦受害者安装了木马程序包，就会将RomCom RAT丢到系统中。

虽然此前的战役迭代涉及使用特洛伊木马化的高级IP扫描器，但身份不明的对手集体从10月20日开始转向pdfFiller，这表明部分对手积极尝试改进策略和挫败检测。

这些看起来很像的网站都有一个流氓安装包，导致RomCom RAT的部署，它能够收集信息和截图，所有这些都导出到远程服务器。

对手针对乌克兰军方的最新活动是一个偏离，因为它使用带有嵌入链接的钓鱼电子邮件作为初始感染载体，导致一个假网站下一阶段下载器下降。

该下载器使用来自” Blythe Consulting sp. z o.o . “的有效数字证书签名，用于额外的逃避层，然后用于提取和运行RomCom RAT恶意软件。黑莓说，相同的签名者被合法版本的pdfFiller使用。

除乌克兰军方外，该运动的其他目标还包括美国、巴西和菲律宾的IT公司、食品经纪人和食品制造实体。

黑莓威胁研究人员Dmitry别斯图热夫在接受《黑客新闻》采访时说：”这场运动是网络犯罪动机的威胁行为者和目标攻击威胁行为者之间界限模糊的一个很好的例子。

  “过去，两组都是独立行动，依靠不同的工具。如今，有针对性的攻击威胁行为者更多地依赖传统工具，使得归因更加困难。“