Der als RomCom bekannte Bedrohungsakteur ist auf den Plan zurückgekehrt und hat ukrainische Politiker und eine Gesundheitsorganisation in den Vereinigten Staaten ins Visier genommen, die Flüchtlingen bei der Flucht aus dem vom Krieg zerrütteten Land hilft.
Die Durchführung dieses Angriffs erfolgt über eine trojanisierte Version von Devolutions Remote Desktop Manager, zu deren Download die Opfer wahrscheinlich ermutigt wurden, nachdem sie durch Phishing-Taktiken auf eine geklonte Website weitergeleitet wurden.
Die Bedrohungsgruppe verwendete eine Form von Typosquatting um eine auffallende Ähnlichkeit mit der authentischen Website zu schaffen, so die Bericht von BlackBerry Threat Research und Geheimdienstteam.
Durch die Erstellung gefälschter Websites, die den legitimen Software-Websites stark ähneln, kann RomCom bösartige Nutzlasten an ahnungslose Opfer verteilen, die die kompromittierte Software herunterladen und installieren, weil sie denken, sie sei legitim.
Das mit einem Trojaner infizierte Installationsprogramm beginnt mit der Installation von Malware, nachdem der Benutzer aufgefordert wird, den Zielpfad auszuwählen, in dem die Dateien installiert werden sollen. Anschließend beginnt es mit der systematischen Erfassung wichtiger Host- und Benutzermetadaten vom infizierten System, die anschließend an seinen Command-and-Control-Server (C2) übertragen werden.
Ein Cyberangriff mit geopolitischen Motiven
Die Kampagne weist stark darauf hin, dass die Motivation dieses Bedrohungsakteurs nicht Geld ist, sondern vielmehr eine geopolitische Agenda, die seine Angriffsstrategie und Zielmethoden bestimmt.
Laut Dmitry Bestuzhev, Senior Director, CTI, BlackBerry, war die Aufklärung darüber, welche Software Ziele verwenden, um gefälschte Update-Benachrichtigungen zu übermitteln, Teil des Prozesses. „Mit anderen Worten: Der Bedrohungsakteur hinter RomCom RAT verlässt sich auf vorherige Informationen über jedes Opfer, etwa welche Software es nutzt, wie es diese nutzt und an welchen sozialen oder politischen Programmen es arbeitet.“
Das Endspiel ist die Exfiltration sensibler Informationen. „Wir haben gesehen, wie RomCom auf militärische Geheimnisse abzielte, etwa auf Standorte von Einheiten, Verteidigungs- und Angriffspläne, Waffen und militärische Ausbildungsprogramme“, bemerkt Bestuschew.
Er sagt, da das in den USA ansässige Gesundheitswesen den Flüchtlingen aus der Ukraine Hilfe leistet, gehörten zu den gezielten Informationen auch, wie dieses Programm funktioniert, um festzustellen, wer die Flüchtlinge sind – dazu gehören auch die persönlichen Daten der Flüchtlinge, die für weitere Angriffe verwendet werden können.
Eine RomCom, die Sie noch nie gesehen haben
Vorherige RomCom-Kampagnen gegen das ukrainische Militär setzte gefälschte Advanced IP Scanner-Software ein, um Malware zu verbreiten, und die Gruppe hat auch englischsprachige Länder – insbesondere das Vereinigte Königreich – mit trojanisierten Versionen beliebter Softwareprodukte ins Visier genommen, darunter SolarWinds Network Performance Monitor, KeePass Open-Source Password Manager, und PDF Reader Pro.
Callie Guenther, Senior Manager für Cyber-Bedrohungsforschung bei Critical Start, erklärt, dass RomCom in den jüngsten Kampagnen neben der Verwendung unterschiedlicher Software auch seine C2-Infrastruktur angepasst hat, um sich an den legitimen Netzwerkverkehr anzupassen.
„Dies könnte die Verwendung von Kommunikationsprotokollen beinhalten, die üblicherweise mit politischen Kampagnen oder Gesundheitsorganisationen in Verbindung gebracht werden, wodurch es schwieriger wird, ihre böswilligen Aktivitäten zu erkennen“, sagt sie.
Sie fügt hinzu, dass soziale Medien ein wichtiger Bestandteil der jüngsten Kampagnen waren. „RomCom setzt möglicherweise Phishing-E-Mails, Spear-Phishing oder andere Social-Engineering-Techniken ein, die auf die Zielpersonen oder -organisationen zugeschnitten sind“, erklärt sie.
Für Politiker könnten sie E-Mail-Nachrichten erstellen, in denen sie sich als politische Kollegen oder Beamte ausgeben, und im Fall des Gesundheitsunternehmens könnten sie E-Mails versenden, die sich als Gesundheitsregulierungsbehörden oder als Anbieter von medizinischer Ausrüstung oder Software ausgeben.
Günther sagt, dass die aktive Entwicklung neuer Fähigkeiten und Techniken durch RomCom ein bemerkenswertes Maß an Raffinesse und Anpassungsfähigkeit anzeigt.
„Das deutet darauf hin, dass sich ihre Zielauswahl weiterentwickeln könnte, wenn sie ihre Taktiken verfeinern und nach neuen Möglichkeiten für Kompromisse suchen“, sagt sie.
Wie man sich gegen die RomCom APT verteidigt
Mike Parkin, leitender technischer Ingenieur bei Vulcan Cyber, sagt, dass hier die Standardverteidigungstaktiken gelten wie bei jedem Angreifer, unabhängig davon, ob es sich um einen Cyberkriminellen oder um einen staatlich geförderten Angreifer handelt.
„Halten Sie Patches auf dem neuesten Stand. Befolgen Sie die Best Practices der Branche und die Empfehlungen des Herstellers zur „sicheren Installation“, sagt er. „Stellen Sie sicher, dass Benutzer geschult sind und eine sichere Kultur pflegen, die sie zu einem Teil der Lösung und nicht zum anfälligsten Teil der Angriffsfläche macht.“
Laut Bestuzhev setzt der Bedrohungsakteur hinter RomCom auf Social Engineering und Vertrauen. Daher ist es auch wichtig, die Mitarbeiter darin zu schulen, wie man Spear-Phishing erkennt.
„Zweitens ist es wichtig, sich auf ein gutes Cyber-Bedrohungserkennungsprogramm zu verlassen, das kontextbezogene, vorausschauende und umsetzbare Bedrohungsinformationen bereitstellt, wie etwa Verhaltensregeln, um RomComs Operationen in den Systemen, im Netzwerkverkehr und in Dateien zu erkennen“, sagt er. „In diesem Zusammenhang mit RomCom gibt es Raum für den Aufbau einer effektiven Bedrohungsmodellierung auf der Grundlage von Taktiken, Techniken und Verfahren (TTP) und geopolitischen Entwicklungen.“
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- EVM-Finanzen. Einheitliche Schnittstelle für dezentrale Finanzen. Hier zugreifen.
- Quantum Media Group. IR/PR verstärkt. Hier zugreifen.
- PlatoAiStream. Web3-Datenintelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://www.darkreading.com/threat-intelligence/romcom-threat-actor-targets-ukrainian-politicians-us-healthcare
- :hast
- :Ist
- :nicht
- :Wo
- $UP
- 7
- a
- LiveBuzz
- Nach
- aktiv
- Aktivitäten
- Fügt
- advanced
- Nach der
- gegen
- Veranstaltungen
- Hilfe
- entlang
- ebenfalls
- an
- und
- jedem
- Bewerben
- SIND
- Waffen
- AS
- damit verbundenen
- At
- Attacke
- Anschläge
- Authentic
- Verwaltung
- basierend
- BE
- hinter
- Sein
- BESTE
- Best Practices
- Blend
- Building
- aber
- Kampagnen (Campaign)
- Kampagnen
- CAN
- Fähigkeiten
- Häuser
- herausfordernd
- eng
- Kopien
- Das Sammeln
- häufig
- Kommunikation
- Unternehmen
- Kompromiss
- Kompromittiert
- Kontext
- kontextuelle
- könnte
- Ländern
- Land
- Handwerk
- erstellen
- Erstellen
- kritischem
- Pflegen
- KULTUR
- Cyber-
- Cyber Attacke
- Cyberkriminalität
- Datum
- Militär
- Abwehr-system
- Übergeben
- einsetzen
- Einsatz
- Desktop
- Reiseziel
- Bestimmen
- Entwicklung
- Entwicklungen
- anders
- Direktor
- verteilen
- do
- herunterladen
- jeder
- Effektiv
- E-Mails
- Mitarbeiter
- ermutigt
- Ingenieur
- Entwicklung
- Ausrüstung
- insbesondere
- essential
- entwickelt sich
- Exfiltration
- Erklärt
- Fälschung
- Mappen
- Folgende
- Aussichten für
- unten stehende Formular
- für
- weiter
- geopolitischen
- gut
- Gruppe an
- he
- Gesundheitswesen
- hier
- Gastgeber
- Ultraschall
- Hilfe
- HTTPS
- wichtig
- in
- In anderen
- inklusive
- Dazu gehören
- Einschließlich
- zeigt
- Einzelpersonen
- Energiegewinnung
- Information
- Infrastruktur
- installieren
- Installation
- installiert
- Installieren
- Intelligenz
- beteiligen
- beteiligt
- IP
- IT
- SEINE
- jpg
- Behalten
- bekannt
- legitim
- Niveau
- Gefällt mir
- wahrscheinlich
- Standorte
- um
- MACHT
- Making
- Malware
- Manager
- Kann..
- Medien
- sowie medizinische
- medizinische Ausrüstung
- Nachrichten
- Metadaten
- Methoden
- könnte
- Militär
- Modellieren
- Geld
- Überwachen
- mehr
- vor allem warme
- Motivation
- Netzwerk
- Netzwerktraffic
- Neu
- bemerkenswert
- Notizen
- Benachrichtigungen
- of
- Offensive
- Beamte
- on
- Open-Source-
- Entwicklungsmöglichkeiten
- or
- Auftrag
- Organisation
- Organisationen
- Andere
- Teil
- Passwort
- Password Manager
- Patches
- Weg
- Leistung
- persönliche
- Phishing
- Pläne
- Plato
- Datenintelligenz von Plato
- PlatoData
- politisch
- Politiker
- Beliebt
- Praktiken
- früher
- Pro
- Verfahren
- Prozessdefinierung
- Produkte
- Programm
- Programme
- Protokolle
- Bereitstellung
- RAT
- lieber
- RE
- Leser
- kürzlich
- Empfehlungen
- verfeinern
- Flüchtlinge
- Ungeachtet
- Regulierungsbehörden
- verlassen
- entfernt
- Forschungsprojekte
- Zimmer
- Ohne eine erfahrene Medienplanung zur Festlegung von Regeln und Strategien beschleunigt der programmatische Medieneinkauf einfach die Rate der verschwenderischen Ausgaben.
- s
- sah
- sagt
- Szene
- Verbindung
- Suchen
- gesehen
- Auswahl
- senden
- Senior
- empfindlich
- sie
- am Standort
- Seiten
- So
- Social Media
- Soziale Technik
- Social Media
- Software
- SolarWinds
- Lösung
- Speer-Phishing
- Sponsored
- Spot
- Standard
- Anfang
- Bundesstaat
- Staaten
- Strategie
- starker
- Anschließend
- so
- Schlägt vor
- Oberfläche
- System
- Systeme und Techniken
- Taktik
- zugeschnitten
- Target
- gezielt
- Targeting
- Ziele
- Team
- Technische
- Techniken
- als
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- Großbritannien
- ihr
- Sie
- dann
- Dort.
- vom Nutzer definierten
- Denken
- fehlen uns die Worte.
- Bedrohung
- Durch
- zu
- der Verkehr
- trainiert
- Ausbildung
- Vertrauen
- Uk
- Ukraine
- Ukrainisch
- Einheit
- Vereinigt
- USA
- Aktualisierung
- us
- -
- benutzt
- Mitglied
- Nutzer
- Verwendung von
- Verkäufer
- Anbieter
- Version
- Opfer
- Opfer
- Vulkan
- Verwundbar
- wurde
- we
- Webseite
- Webseiten
- waren
- Was
- ob
- welche
- WHO
- mit
- Worte
- arbeiten,
- Werk
- Du
- Zephyrnet