Microsoft wykrył działania oszustwa internetowego prowadzonego przez cyberprzestępcę o pseudonimie Storm-0978, który miał na celu atakowanie instytucji obronnych i rządowych w Europie i Ameryce Północnej. Przestępca wykorzystał słabość oznaczoną jako CVE-2023-36884, która stanowiła luki w systemach zabezpieczeń, pozwalając na zdalne wykonywanie kodu. Atak ten został przeprowadzony za pośrednictwem złośliwych dokumentów Word, które były podstawą przynęt związanych z Światowym Kongresem Ukrainy, a Microsoft został powiadomiony dopiero po ich odkryciu.
Grupa przestępcza z siedzibą w Rosji
Storm-0978 (DEV-0978), także znany jako RomCom, to grupa przestępcza z Rosji, która jest znana z przeprowadzania ataków ransomware i wymuszeń, a także ukierunkowanych kampanii mających na celu pozyskanie poufnych danych. Storm-0978 jest odpowiedzialny za rozwój i dystrybucję backdoora o nazwie RomCom. Grupa ta również stosuje oprogramowanie ransomware o nazwie Underground, które jest blisko powiązane z programem Industrial Spy, po raz pierwszy zaobserwowanym w maju 2022 roku. Ostatnia kampania przestępców, wykryta w czerwcu 2023 roku, wykorzystywała lukę CVE-2023-36884 w celu infekcji systemów przy użyciu backdoora podobnego do RomCom.
Operacje hakerskie wymierzone w ukraińskie sprawy polityczne
Grupa Storm-0978 przeprowadzała operacje phishingowe, które wykorzystywały tematy związane z polityką Ukrainy, głównie w Europie, i były skierowane przeciwko organom wojskowym i rządowym. Microsoft, na podstawie swoich analiz, ustalił, iż po uwierzytelnieniu, Storm-0978 rozprowadza backdoory w celowych organizacjach, a także może kraść dane uwierzytelniające do późniejszych ukierunkowanych działań.
Z drugiej strony, aktywność związana z oprogramowaniem ransomware przeprowadzanym przez tę grupę była głównie oparta na przypadkowych okazjach i była całkowicie oddzielona od działań szpiegowskich. Wykryte ataki miały wpływ na branże telekomunikacyjną i finansową.
Przestępcy wykorzystują motywy kongresu NATO
Wiadomość e-mail Storm-0978 wykorzystuje motywy Ukraińskiego Światowego Kongresu i NATOKonkretne zalecenia w celu ochrony przed atakiem, Microsoft podaje na swojej stronie internetowej:
https://www.microsoft.com/en-us/security/blog/2023/07/11/storm-0978-attacks-reveal-financial-and-espionage-motives/
