日本网络安全公司趋势科技 检测到一种名为ROMCOMLITE的新恶意软件攻击活动。网络间谍团伙Void Rabisu的目标是女性政治家和政府官员。带有新的ROMCOM后门变体。这种新型号比其前身更紧凑、更隐蔽。攻击者使用鱼叉式网络钓鱼通过虚假会议邀请传播后门。如果恶意软件成功入侵系统，它可以收集数据、执行远程命令或捕获屏幕截图。

臭名昭著的网络间谍组织Void Rabisu（又名Storm-0978、Tropical Scorpius和UNC2596）使用先前检测到的ROMCOM 后门的改进版本发起了一项针对女性政治领导人和政府官员的全新活动。

2023年7月曾报道称，Void Rabisu正在加紧针对政客的攻击，并援引了BlackBerry威胁研究和情报团队的一份报告，该报告发现该组织通过恶意传递ROMCOM后门RAT来针对乌克兰和北约支持者和文件。

ROMCOMLITE活动是由日本网络安全公司趋势科技发现的。这种新变体被趋势科技和微软称为ROMCOM 4.0，允许攻击者未经授权访问目标计算机并窃取敏感数据。

该后门于8月初被发现，恶意软件分析于10月31日发布。Feike Hacquebord和Fernando Merces在报告中解释说，Void Rabisu的目标是2023年6月在布鲁塞尔举行的女性政治领袖(WPL)峰会的与会者。

仅供您参考，Void Rabisu是一个复杂的混合组织，进行间谍活动和出于经济动机的攻击，并喜欢使用 古巴勒索软件。它还充当针对政府和军事实体/官员的 APT 参与者。

该团伙于2022年首次被发现，但研究人员一致认为该团伙已经活跃了很长时间。他们还怀疑该组织怀有地缘政治议程，因为其之前的大部分活动都针对乌克兰政府/军方和欧盟政治/政府。

在最近的活动中，趋势科技指出，后门负载被嵌入到WPL Summit官方网站的恶意副本中，以改善政治中的性别平等。新的恶意后门ROMCOM 4.0旨在逃避检测并隐藏在受感染的系统中以避免引起怀疑。

根据报告，原始域的视频和照片链接将访问者重定向到包含活动照片的Google云端硬盘文件夹。然后，虚假网站(wplsummitcom)将访问者引导至OneDrive文件夹，其中包含两个压缩文件和一个可执行文件（标题为：Unpublished Pictures 1-20230802T122531-002-sfx.exe），该文件是恶意软件。

该团伙于8月8日创建了这个假网站，主要是为了吸引来自原始WPL峰会域名的访问者。该可执行文件由一家名为Elbor LLC的公司使用有效证书进行签名，并在用户单击“提取”后从其资源部分提取56张照片。

攻击者使用鱼叉式网络钓鱼策略来引诱目标。他们发送虚假的会议邀请和其他诱饵，以便目标打开恶意附件或单击包含恶意软件的链接。

这是Void Rabisu在2023年6月发现的活动中使用的类似策略，该团伙利用与乌克兰世界大会和7月北约峰会相关的诱饵，基于MS Office和Windows中的RCE漏洞提供零日漏洞利用HTML，跟踪为CVE-2023-36884。微软在7月份披露了这一活动。

然而，趋势科技报告显示，该组织在这次活动中使用了一种新策略，涉及RomCom C2服务器强制执行TLS，以使ROMCOM 的基础设施难以被发现。

报告中写道：“我们观察到Void Rabisu在2023年5月的RomCom活动中使用了这种技术，该活动传播了合法PaperCut软件的恶意副本，其中C2服务器忽略了不符合要求的请求。”

趋势科技声称没有证据表明Void Rabisu是一个受国家资助的演员。尽管如此，很明显该组织正试图从“乌克兰战争造成的异常地缘政治环境”中受益。