Саммит международной некоммерческой организации «Женщины-политические лидеры», прошедший в июне нынешнего года в Брюсселе, использовался злоумышленниками для организации хакерской атаки. Как сообщают исследователи компании Trend Micro, в августе злоумышленники создали фальшивый сайт по адресу wplsummit.com, имитирующий официальный сайт организации, действующий на домене wplsummit.org. Помимо прочего, там была размещена и ссылка на папку с фотографиями с брюссельского саммита.

При переходе по этой ссылке на устройство пользователя действительно загружались несколько десятков фотографий (взятых с официального сайта). Но одновременно происходила и загрузка в память вредоносного компонента, который устанавливал связь с командным сервером киберпреступников. В результате на устройство устанавливалась «облегченная» версия бэкдора RomCom, чуть ранее обнаруженная сотрудниками компании Volexity и получившая название Peapod. По словам специалистов Trend Micro, это уже четвертое крупное изменение RomCom. Новая версия поддерживает исполнение всего 10 команд вместо прежних 42. Однако это не делает бэкдор менее опасным: он позволяет атакующим исполнять произвольные команды, получать информацию о системе, загружать и отправлять на командные серверы файлы, а при необходимости и удалять себя с инфицированного устройства. А сокращение функций позволило уменьшить объемы оставляемых зловредом «цифровых отпечатков» и тем осложнить его обнаружение.

Исследователи Trend Micro считают, что за атакой стоит киберпреступная группировка Void Rabisu. Ранее она была известна преимущественно вымогательскими атаками с использованием зловреда-шифровальщика Cuba. Однако группа прошла весьма необычный эволюционный путь, постепенно переключаясь на кибершпионские операции. Нынешняя атака позволяет говорить о Void Rabisu как о группировке, сосредоточенной в первую очередь уже именно на кибершпионаже.