新的PEAPOD网络攻击运动针对女性政治领导人

致力于两性平等倡议的欧洲联盟军事人员和政治领导人已成为一项新运动的目标，该运动提供了一个名为PEAPOD的RomCom RAT更新版本。

网络安全公司趋势科技将这些攻击归因于它追踪的名为Void Rabisu的威胁行为者，也被称为Storm-0978，Tropical Scorpius和UNC 2596，并且也被认为与古巴勒索软件有关。

敌对的集体是一个不寻常的团体，因为它同时进行金融动机和间谍攻击，模糊了它们的运作模式之间的界限。它也与使用RomCom RAT有关。

涉及使用后门的攻击针对的是乌克兰和支持乌克兰在过去一年对俄罗斯发动战争的国家。
今年7月早些时候，微软暗示Void Rabisu利用了CVE-2023-36884，这是Office和Windows HTML中的一个远程代码执行漏洞，使用了与乌克兰世界大会有关的特制Microsoft Office文档诱饵。

RomCom RAT能够与命令和控制（C C）服务器进行交互，以接收命令并在受害者的机器上执行命令，同时还包含防御规避技术，标志着其复杂性的稳步发展。

恶意软件通常通过高度针对性的鱼叉式网络钓鱼电子邮件和谷歌和必应等搜索引擎上的虚假广告分发，以欺骗用户访问托管合法应用程序木马版本的引诱网站。

“Void Rabisu是最明显的例子之一，我们看到网络犯罪威胁行为者使用的典型战术，技术和程序（TTP）以及民族国家赞助的威胁行为者使用的TTP主要是出于间谍目的，”趋势科技说。

该公司在2023年8月检测到的最新一组攻击也提供了RomCom RAT，只是它是通过一个名为wplsummit的网站分发的恶意软件的更新和精简版本。com，它是合法wplsummit[.]的复制品。org域中创建的。

该网站上有一个指向Microsoft OneDrive文件夹的链接，该文件夹包含一个名为“未发布的图片1-20230802T122531-002-sfx.exe”的可执行文件，这是一个21.6 MB的文件，旨在模仿一个包含2023年6月举行的女性政治领袖（WPL）峰会照片的文件夹。
二进制文件是一个下载器，它将56张图片作为诱饵放到目标系统上，同时从远程服务器检索DLL文件。据称，这些照片是恶意行为者从LinkedIn、X（以前称为Twitter）和Instagram等各种社交媒体平台上的个人帖子中获取的。

DLL文件本身与另一个域建立联系，以获取第三阶段PEAPOD工件，该工件总共支持10个命令，而其前身支持42个命令。

修改后的版本可以执行任意命令，下载和上传文件，获取系统信息，甚至从受感染的主机上卸载自己。通过将恶意软件剥离到最基本的功能，这个想法是限制其数字足迹并使检测工作复杂化。

“虽然我们没有证据表明Void Rabisu是民族国家赞助的，但它可能是来自犯罪地下的经济动机威胁行为者之一，由于乌克兰战争造成的特殊地缘政治环境而被卷入网络间谍活动，“趋势科技说。