The Hacker News 网站披露，安全研究人员在 2022 年 10 月 21 日开始的一场鱼叉式网络钓鱼行动中，发现远程访问特洛伊木马 Romcom Rate 运营商攻击了乌克兰军事机构。

黑莓研究和情报团队表示：最初“高级 IP 扫描器’活动发生在 2022 年 7 月 23 日，一旦受害者安装了特洛伊木马捆绑包，它就会向系统投放 Romcom Rate。

新鱼叉式网络钓鱼事件标志着攻击者作案手法发生转变，此前部分人员认为攻击者是通过欺骗 Advanced IP Scanner 和 pdfFiller 等合法应用程序，在受攻击的系统上安装后门程序。

此前攻击活动迭代涉及使用特洛伊木马高级 IP 扫描器，但自 10 月 20 日起，身份不明的攻击者已切换到 pdfFiller，这种情况说明，部分攻击者正在积极尝试完善战术和挫败检测。 这些看起来很像的网站都托管了一个流氓安装程序包，导致受害者部署了Romcom RAT，它能够收集信息和捕获屏幕截图，所有这些都被导出到远程服务器。

攻击者针对乌克兰军方的攻击活动好像没有使用最初的手段，反而使用了一封带有嵌入链接的钓鱼电子邮件作为初始感染载体，导致虚假网站放弃了下一阶段的下载。

下载程序使用“Blythe Consulting sp.z o.o”的有效数字证书进行签名，用于额外逃避层，然后用于提取和运行 RomCom RAT 恶意软件。黑莓表示，合法版本的 pdfFiller 使用了相同签名者。

除了乌克兰军队之外，这场攻击活动的目标还包括美国、巴西和菲律宾的 IT 公司、食品制造企业等。

黑莓公司威胁研究人员德米特里·贝斯图热夫（Dmitry Bestuzhev）表示，这场攻击活动是网络犯罪动机威胁者和目标攻击威胁者之间界限模糊的一个例子。过去，两组都是独立行动，依靠不同工具。

参考文章：

https://thehackernews.com/2022/10/romcom-hackers-circulating-malicious.html