Deelnemers van de Women Political Leaders Summit 2023 in juni zijn doelwit geworden van een gerichte cyberaanval. Via een nagemaakte malafide website probeerden aanvallers malware te verspreiden naar deelnemers. De Women Political Leaders Summit 2023 is een conferentie waar de rol van vrouwen in politiek centraal staat. Leiders van over de hele wereld bezochten het evenement in Brussel.
Bezoekers van de conferen0e zijn doelwit geworden van en cyberaanval, meldt Trend Micro. Een malafide kopie van de officiële website van de Women Political Leaders Summit is begin augustus online verschenen. Via deze website probeerden de aanvallers de ROMCOM malware te verspreiden.
ROMCOM is malware die volgens het beveiligingsbedrijf exclusief gebruikt lijkt te worden door Void Rabisu. Dit is een threat actor die in het verleden onder meer financieel gemotiveerde ransomware-aanvallen uitvoerde, maar zich ook bezighoudt met aanvalscampagnes gericht op Oekraïne en landen die Oekraïne steunen. Onder meer de Oekraïense overheid, leger, energie- en watersector evenals Europese politici en Europese overheidsdiensten waren doelwit.
Kenmerkend voor Void Rabisu is het gebruik van ROMCOM. Dit is malware waarmee de groepering een backdoor creëert op systemen van slachtoffers. "Void Rabisu is één van de duidelijke voorbeelden waar we een combinatie zien van typische tactieken, technieken en procedures (TTP's) gebruikt door cybercriminele threat actors en TTP's gebruikt door landen gesponsorde threat actors. Zo ondertekent Void Rabisu malware met certificaten die het vermoedelijk heeft gekocht van een third-party service provider en ook door andere aanvallers in gebruik zijn", aldus Trend Micro.
Daarnaast plaatst de partij malafide advertenties op zowel Google als Bing voor het lokken van slachtoffers naar hun malafide websites. Tegelijkertijd gedraagt Void Rabisu zich volgens Trend Micro ook als een advanced persistent threat (APT) actor tijdens aanvallen op overheden en militaire doelen. Trend Micro vermoedt dan ook dat aanvallen van Void Rabisu primair financieel gemotiveerd zijn, maar de threat actor door de huidige geopolitieke omstandigheden gedreven wordt tot cyberspionage.
Deze posting is gelocked. Reageren is niet meer mogelijk.