Die Betreiber von RomCom RAT entwickeln ihre Kampagnen mit neuen Versionen von Software wie SolarWinds Network Performance Monitor, KeePass Password Manager und PDF Reader Pro weiter.
Ziel der Operation sind Opfer in der Ukraine und ausgewählten englischsprachigen Ländern wie Großbritannien.
„Angesichts der geografischen Lage der Ziele und der aktuellen geopolitischen Situation ist es unwahrscheinlich, dass der RomCom RAT-Bedrohungsakteur durch Cyberkriminalität motiviert ist“, so das BlackBerry Threat Research and Intelligence Team in einer neuen Analyse.
Die neuesten Erkenntnisse kommen eine Woche, nachdem das kanadische Cybersicherheitsunternehmen eine Spear-Phishing-Kampagne aufgedeckt hat, die auf ukrainische Einrichtungen abzielte, um einen Remote-Access-Trojaner namens RomCom RAT zu installieren.
Der unbekannte Bedrohungsakteur wurde auch dabei beobachtet, wie er trojanisierte Varianten von Advanced IP Scanner und pdfFiller als Dropper einsetzte, um das Implantat zu verbreiten.
Bei der neuesten Version der Kampagne werden täuschend echt aussehende Websites mit einem ähnlichen Domainnamen eingerichtet, dann ein mit Malware verseuchtes Installationspaket der Schadsoftware hochgeladen und anschließend Phishing-E-Mails an die Opfer versendet.
Gefälschte Keypass-Website
Gefälschte SolarWinds-Website
„Wenn du eine kostenlose Testversion von der gefälschten SolarWinds-Website herunterlädst, erscheint ein legitimes Registrierungsformular“, erklären die Forscher.
„Wenn es ausgefüllt wird, kann es sein, dass sich echte SolarWinds-Vertriebsmitarbeiter mit dem Opfer in Verbindung setzen, um den Produkttest weiter zu verfolgen. Diese Technik gaukelt dem Opfer vor, dass die kürzlich heruntergeladene und installierte Anwendung völlig legitim ist.“
Es handelt sich nicht nur um SolarWinds-Software. Auch der beliebte Passwort-Manager KeePass und der PDF Reader Pro werden gefälscht, sogar in ukrainischer Sprache.
Laut Palo Alto Networks Unit 42, die die Ransomware-Gruppe unter dem Sternbildnamen Tropical Scorpius verfolgt, wird RomCom RAT auch mit Bedrohungsakteuren in Verbindung gebracht, die mit der Ransomware Cuba und Industrial Spy in Verbindung stehen.
Angesichts des vernetzten Ökosystems der Cyberkriminellen ist nicht sofort ersichtlich, ob die beiden Aktivitäten miteinander in Verbindung stehen oder ob die Malware anderen Bedrohungsakteuren als Dienstleistung zum Kauf angeboten wird.