RomCom RAT運營商將惡意軟體偽裝成合法程式

據說威脅行為者RomCom正在利用SolarWinds，KeePass和PDF Technologies的品牌力量進行一系列新的攻擊活動。它使用RomCom RAT（遠端訪問木馬）來更新其攻擊媒介，現在通過知名軟體品牌進行分發。

在畢業到烏克蘭軍事系統和英國等英語國家之前，這位威脅行為者以偽造高級IP掃描器和 PDF 填充器等流行應用程式而聞名。

高級IP掃描器是通過將字母「V」附加到檔名來偽造的。如果解壓縮了假冒軟體，則伴隨著包含四個惡意投放器的 27 個檔。此外，它向烏克蘭軍方發送了一封帶有嵌入式連結的電子郵件，該連結指向一個虛假網站，該網站刪除了下一階段的下載器。誘惑是一種被稱為“309號命令.pdf的偽造品。

RomCom以從供應商那裡刪除真正的HTML代碼以偽造它而聞名。然後，它註冊一個類似於合法域但感染了特洛伊木馬的惡意域，將欺詐性捆綁包上傳到虛假網站，然後向受害者發送網路釣魚電子郵件或使用其他感染媒介進行攻擊？

RomCom RAT的第一個版本包含在軟體Advanced IP Scanner中，該軟體被偽造，它有兩個版本：“Advanced IP Scanner V2.5.4594.1.zip”和“advancedipscanner.msi”。

它還使用SolarWinds網路性能監控（NPM）應用程式的木馬化版本發起攻擊，方法是提交合法的註冊表並同時從虛假的SolarWinds網站下載免費試用版。填寫表格后，真正的 SolarWinds 銷售代表可以聯繫受害者跟蹤產品試用，從而使受害者相信最近安裝的應用程式是真實的。相反，受害者會下載惡意的 RomCom 遠端訪問木馬的投放程式 （RAT）。

攻擊者將惡意DLL插入受感染的應用程式，該應用程式從位置“C：UsersuserAppDataLocalTempwinver.dll下載並執行RomCom RAT實例

據說威脅行為者還使用KeePass RomCom活動分發了一個名為“KeePass-2.52.zip”的檔案，其中包含RomCom RAT滴管（“hlpr.dat”）和用於執行滴管的設置.exe。

這篇文章的來源包括 BleepingComputer上的一篇文章。

總結

文章名稱

RomCom RAT運營商將惡意軟體偽裝成合法程式

描述

威脅行為者RomCom正在利用SolarWinds，KeePass和PDF Technologies的品牌力量進行一系列新的攻擊活動。

作者

奧班拉·奧佩耶米

發行者名稱

燕尾服護理

發行者徽標