Oorlog in Oekraïne doet grenzen vervagen tussen cybercriminelen en staatgesponsorde aanvallers

Void Rabisu heeft RomCom gebruikt tegen doelen bij de Oekraïense regering en het leger, evenals tegen water-, energie- en financiële entiteiten in het land. Buiten Oekraïne waren de doelwitten onder meer een lokale overheidsgroep die Oekraïense vluchtelingen hielp, een defensiebedrijf in Europa, IT-dienstverleners in de VS en de EU, en een bank in Zuid-Amerika. Er waren ook campagnes tegen mensen die verschillende evenementen bijwoonden, waaronder de conferenties Masters of Digital en Munich Security.

Verschuivend aanvalspatroon

Dit duidt op een verschuivend aanvalspatroon, aldus Trend Micro. Normaal worden Brute Force-aanvallen uitgevoerd door state actors. In dit geval waren de aanvallen direct naar Void rabisu te herleiden. Verder werden tactieken, technieken en procedures (TTP's)herkend die doorgaans geassocieerd worden met cybercriminaliteit. Trend Micro volgt Void Rabisu sinds 2022 en gelooft dat de bende ontwijkingstechnieken heeft toegevoegd om het voor beveiligingstools moeilijker te maken om de malware te detecteren.

De bende heeft ook nepwebsites gebruikt die echte of nepsoftware lijken te promoten – waaronder ChatGPT, Go To Meeting, AstraChat, KeePass en Veeam – om slachtoffers te verleiden tot het downloaden van kwaadaardige code. De aanvallers pushen bij hun op Oekraëne gerichte aanvallen nepsites via gerichte phishing-e-mails en Google-advertenties. Met de combinatie van RomCom-doelen gezien door Trend Micro, het Oekraïense Computer Emergency Response Team (CERT-UA) en Google, "komt er een duidelijk beeld naar voren van de doelen van de RomCom-achterdeur: selecteer Oekraïense doelen en bondgenoten van Oekraïne", aldus de onderzoekers.

Het rapport van Trend Micro beschrijft onder meer een campagne uit februari 2023 tegen doelen in Oost-Europa, waarbij criminelen de nieuwste versie van RomCom – 3.0 – in een installatiepakket van de AstraChat instant messaging-software insloten. RomCom evolueert met functies die typerend zijn voor zowel cybercrime-malware die wordt gebruikt door financieel gemotiveerde groepen als geavanceerde aanvallers met aanhoudende bedreiging (APT) die worden aangestuurd door geopolitiek, aldus de onderzoekers van Trend Micro.

Geld en politiek

Groepen zoals Void Rabisu gebruiken hun geavanceerde malware om zowel geld te verdienen als politieke doelen te bevorderen. Oekraïne is een centraal punt geworden voor dit soort activiteiten. APT-bendes zoals het aan Rusland gelinkte APT29 (ook bekend als Cozy Bear) en Pawn Storm richten zich op het land en zijn bondgenoten, net als wat Trend Micro 'cyberhuurlingen' noemt, zoals Void Balaur, hacktivisten zoals Killnet, cybercriminelen zoals Void Rabisu en gelieerde partijen van de ransomware-as-a-service-groep Conti.

"We verwachten dat belangrijke geopolitieke gebeurtenissen, zoals de huidige oorlog tegen Oekraïne, de afstemming van de campagnes van dreigingspartijen op die in dezelfde geografische regio wonen", schreven de onderzoekers. "Dit zal leiden tot nieuwe uitdagingen voor verdedigers, aangezien aanvallen dan vanuit veel verschillende hoeken kunnen komen, en het zal minder duidelijk zijn wie de acteur is die verantwoordelijk is voor hen."