Ο ηθοποιός απειλών γνωστός ως RomCom επέστρεψε στη σκηνή, στοχεύοντας Ουκρανούς πολιτικούς και μια οργάνωση υγειονομικής περίθαλψης στις Ηνωμένες Πολιτείες που ασχολείται με την παροχή βοήθειας σε πρόσφυγες που εγκαταλείπουν τη χώρα που έχει καταστρέψει τον πόλεμο.
Η ανάπτυξη αυτής της επίθεσης γίνεται μέσω μιας τρωανοποιημένης έκδοσης του Devolutions Remote Desktop Manager, την οποία τα θύματα πιθανότατα ενθαρρύνονταν να κατεβάσουν αφού κατευθυνθούν σε έναν κλωνοποιημένο ιστότοπο μέσω τακτικών phishing.
Η ομάδα απειλής χρησιμοποίησε μια μορφή δακτυλογράφηση για να δημιουργήσετε μια εντυπωσιακή ομοιότητα με τον αυθεντικό ιστότοπο, σύμφωνα με το έκθεση από την BlackBerry Threat Research και ομάδα πληροφοριών.
Δημιουργώντας ψεύτικους ιστότοπους που μοιάζουν πολύ με τους νόμιμους ιστότοπους λογισμικού, η RomCom μπορεί να διανείμει κακόβουλα ωφέλιμα φορτία σε ανυποψίαστα θύματα που κάνουν λήψη και εγκατάσταση του παραβιασμένου λογισμικού, θεωρώντας ότι είναι νόμιμο.
Το πρόγραμμα εγκατάστασης με trojanized ξεκινά την εγκατάσταση κακόβουλου λογισμικού αφού ζητηθεί από τον χρήστη να επιλέξει τη διαδρομή προορισμού όπου θα ήθελε να εγκατασταθούν τα αρχεία. Στη συνέχεια, αρχίζει να συλλέγει συστηματικά βασικά μεταδεδομένα κεντρικού υπολογιστή και χρήστη από το μολυσμένο σύστημα, τα οποία στη συνέχεια μεταδίδονται στον διακομιστή εντολών και ελέγχου (C2).
Κυβερνοεπίθεση με γεωπολιτικά κίνητρα
Η εκστρατεία υποδηλώνει έντονα ότι το κίνητρο αυτού του παράγοντα απειλής δεν είναι τα χρήματα, αλλά μια γεωπολιτική ατζέντα που καθοδηγεί τη στρατηγική επίθεσης και τις μεθόδους στόχευσης.
Σύμφωνα με τον Dmitry Bestuzhev, ανώτερο διευθυντή, CTI, BlackBerry, η επανεξέταση σχετικά με το τι χρησιμοποιούν οι στόχοι λογισμικού για την παράδοση ψευδών ειδοποιήσεων ενημερώσεων ήταν μέρος της διαδικασίας. «Με άλλα λόγια, ο παράγοντας απειλής πίσω από το RomCom RAT βασίζεται σε προηγούμενες πληροφορίες για κάθε θύμα, όπως το λογισμικό που χρησιμοποιεί, πώς το χρησιμοποιούν και τα κοινωνικά ή πολιτικά προγράμματα στα οποία εργάζονται».
Το τέλος του παιχνιδιού είναι η απομάκρυνση ευαίσθητων πληροφοριών. «Είδαμε τη RomCom να στοχεύει στρατιωτικά μυστικά, όπως τοποθεσίες μονάδων, αμυντικά και επιθετικά σχέδια, όπλα, [και] προγράμματα στρατιωτικής εκπαίδευσης», σημειώνει ο Bestuzhev.
Λέει ότι με την υγειονομική περίθαλψη που εδρεύει στις ΗΠΑ που παρέχει βοήθεια στους πρόσφυγες από την Ουκρανία, οι στοχευμένες πληροφορίες περιελάμβαναν πώς λειτουργεί αυτό το πρόγραμμα για να προσδιορίσει ποιοι είναι οι πρόσφυγες — που περιλαμβάνει τα προσωπικά στοιχεία των προσφύγων, τα οποία μπορούν να χρησιμοποιηθούν για περαιτέρω επιθέσεις.
Μια RomCom που δεν έχετε ξαναδεί
Προηγούμενο καμπάνιες RomCom ενάντια στον στρατό της Ουκρανίας χρησιμοποίησε ψεύτικο λογισμικό Advanced IP Scanner για την παράδοση κακόβουλου λογισμικού και η ομάδα έχει επίσης στοχεύσει αγγλόφωνες χώρες - ειδικά το Ηνωμένο Βασίλειο - με τρωανοποιημένες εκδόσεις δημοφιλών προϊόντων λογισμικού, όπως το SolarWinds Network Performance Monitor, το KeePass Open-Source Password Manager, και PDF Reader Pro.
Η Callie Guenther, ανώτερη υπεύθυνη έρευνας για τις απειλές στον κυβερνοχώρο στην Critical Start, εξηγεί ότι στις πιο πρόσφατες καμπάνιες, μαζί με τη χρήση διαφορετικού λογισμικού, η RomCom προσάρμοσε επίσης την υποδομή C2 της για να συνδυάζεται με τη νόμιμη κυκλοφορία δικτύου.
«Αυτό θα μπορούσε να περιλαμβάνει τη χρήση πρωτοκόλλων επικοινωνίας που συνδέονται συνήθως με πολιτικές εκστρατείες ή οργανισμούς υγειονομικής περίθαλψης, καθιστώντας πιο δύσκολο τον εντοπισμό των κακόβουλων δραστηριοτήτων τους», λέει.
Προσθέτει ότι τα μέσα κοινωνικής δικτύωσης ήταν ένα σημαντικό μέρος των πρόσφατων καμπανιών. «Η RomCom μπορεί να χρησιμοποιήσει email phishing, spear-phishing ή άλλες τεχνικές κοινωνικής μηχανικής προσαρμοσμένες στα στοχευόμενα άτομα ή οργανισμούς», εξηγεί.
Για τους πολιτικούς, θα μπορούσαν να δημιουργήσουν μηνύματα ηλεκτρονικού ταχυδρομείου που υποδύονται πολιτικούς συναδέλφους ή αξιωματούχους, και στην περίπτωση της εταιρείας υγειονομικής περίθαλψης, μπορεί να στέλνουν μηνύματα ηλεκτρονικού ταχυδρομείου που παρουσιάζονται ως ρυθμιστικές αρχές υγειονομικής περίθαλψης ή πωλητές ιατρικού εξοπλισμού ή λογισμικού.
Ο Guenther λέει ότι η ενεργός ανάπτυξη νέων δυνατοτήτων και τεχνικών από τη RomCom υποδηλώνει ένα αξιοσημείωτο επίπεδο πολυπλοκότητας και προσαρμοστικότητας.
«Αυτό υποδηλώνει ότι η επιλογή του στόχου τους μπορεί να εξελιχθεί καθώς βελτιώνουν τις τακτικές τους και αναζητούν νέες ευκαιρίες για συμβιβασμό», λέει.
Πώς να υπερασπιστείτε το RomCom APT
Ο Mike Parkin, ανώτερος τεχνικός μηχανικός στη Vulcan Cyber, λέει ότι οι τυπικές τακτικές άμυνας ισχύουν εδώ όπως ισχύει για κάθε επιτιθέμενο, ανεξάρτητα από το αν είναι κυβερνοεγκληματίας ή χρηματοδοτείται από το κράτος.
«Διατηρήστε τις ενημερώσεις κώδικα. Εφαρμόστε ακολουθώντας τις βέλτιστες πρακτικές του κλάδου και τις συστάσεις «ασφαλούς εγκατάστασης» του προμηθευτή», λέει. «Βεβαιωθείτε ότι οι χρήστες είναι εκπαιδευμένοι και καλλιεργούν μια ασφαλή κουλτούρα που τους καθιστά μέρος της λύσης και όχι το πιο ευάλωτο μέρος της επιφάνειας επίθεσης».
Ο Bestuzhev λέει ότι ο παράγοντας απειλών πίσω από τη RomCom βασίζεται στην κοινωνική μηχανική και την εμπιστοσύνη. Επομένως, η εκπαίδευση των εργαζομένων σχετικά με τον εντοπισμό του ψαρέματος με δόρυ είναι επίσης σημαντική.
«Δεύτερον, είναι σημαντικό να βασίζεστε σε ένα καλό πρόγραμμα πληροφοριών για τις απειλές στον κυβερνοχώρο που παρέχει ευφυΐα απειλών με βάση τα συμφραζόμενα, προληπτικά και λειτουργικά, όπως κανόνες συμπεριφοράς για τον εντοπισμό των λειτουργιών της RomCom στα συστήματα, την κυκλοφορία δικτύου και τα αρχεία», λέει. «Με αυτό το πλαίσιο για τη RomCom, υπάρχει χώρος για την οικοδόμηση μιας αποτελεσματικής μοντελοποίησης απειλών με βάση τις τακτικές, τις τεχνικές και τις διαδικασίες (TTP) και τις γεωπολιτικές εξελίξεις».
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- EVM Finance. Ενιαία διεπαφή για αποκεντρωμένη χρηματοδότηση. Πρόσβαση εδώ.
- Quantum Media Group. Ενισχυμένο IR/PR. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Data Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/threat-intelligence/romcom-threat-actor-targets-ukrainian-politicians-us-healthcare
- :έχει
- :είναι
- :δεν
- :που
- $UP
- 7
- a
- Σχετικα
- Σύμφωνα με
- ενεργός
- δραστηριοτήτων
- Προσθέτει
- προηγμένες
- Μετά το
- κατά
- ημερήσια διάταξη
- Ενισχύσεις
- κατά μήκος
- Επίσης
- an
- και
- κάθε
- Εφαρμογή
- ΕΙΝΑΙ
- όπλα
- AS
- συσχετισμένη
- At
- επίθεση
- Επιθέσεις
- Αυθεντικός
- Αρχές
- βασίζονται
- BE
- πίσω
- είναι
- ΚΑΛΎΤΕΡΟΣ
- βέλτιστες πρακτικές
- Μείγμα
- Κτίριο
- αλλά
- Εκστρατεία
- Καμπάνιες
- CAN
- δυνατότητες
- περίπτωση
- πρόκληση
- στενά
- συναδέλφους
- Συλλέγοντας
- συνήθως
- Επικοινωνία
- εταίρα
- συμβιβασμός
- Συμβιβασμένος
- συμφραζόμενα
- συμφραζόμενα
- θα μπορούσε να
- χώρες
- χώρα
- σκάφος
- δημιουργία
- δημιουργία
- κρίσιμης
- Καλλιεργώ
- κουλτούρα
- στον κυβερνοχώρο
- Ηλεκτρονική επίθεση
- ΚΥΒΕΡΝΟΕΓΚΛΗΜΑΤΙΚΟΣ
- Ημερομηνία
- Άμυνα
- αμυντικός
- παραδώσει
- παρατάσσω
- ανάπτυξη
- επιφάνεια εργασίας
- προορισμός
- Προσδιορίστε
- Ανάπτυξη
- εξελίξεις
- διαφορετικές
- Διευθυντής
- διανέμω
- do
- κατεβάσετε
- κάθε
- Αποτελεσματικός
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- Υπάλληλος
- ενθαρρύνονται
- μηχανικός
- Μηχανική
- εξοπλισμός
- ειδικά
- ουσιώδης
- εξελίσσονται
- διήθηση
- Εξηγεί
- απομίμηση
- Αρχεία
- Εξής
- Για
- μορφή
- από
- περαιτέρω
- γεωπολιτικό
- καλός
- Group
- he
- υγειονομική περίθαλψη
- εδώ
- οικοδεσπότης
- Πως
- Πώς να
- HTTPS
- σημαντικό
- in
- Σε άλλες
- περιλαμβάνονται
- περιλαμβάνει
- Συμπεριλαμβανομένου
- υποδηλώνει
- άτομα
- βιομηχανία
- πληροφορίες
- Υποδομή
- εγκαθιστώ
- εγκατάσταση
- εγκατασταθεί
- εγκατάσταση
- Νοημοσύνη
- εμπλέκω
- συμμετέχουν
- IP
- IT
- ΤΟΥ
- jpg
- Διατήρηση
- γνωστός
- νόμιμος
- Επίπεδο
- Μου αρέσει
- Πιθανός
- θέσεις
- κάνω
- ΚΑΝΕΙ
- Κατασκευή
- malware
- διευθυντής
- Ενδέχεται..
- Εικόνες / Βίντεο
- ιατρικών
- ιατρικός εξοπλισμός
- μηνύματα
- Μεταδεδομένα
- μέθοδοι
- ενδέχεται να
- Στρατιωτικός
- μοντελοποίηση
- χρήματα
- Παρακολούθηση
- περισσότερο
- πλέον
- Κινητοποίηση
- δίκτυο
- επισκεψιμότητα δικτύου
- Νέα
- αξιοσημείωτο
- Notes
- κοινοποιήσεις
- of
- προσβλητικός
- υπάλληλοι
- on
- ανοικτού κώδικα
- Ευκαιρίες
- or
- τάξη
- επιχειρήσεις
- οργανώσεις
- ΑΛΛΑ
- μέρος
- Κωδικός Πρόσβασης
- Διευθυντής κωδικού πρόσβασης
- Patches
- μονοπάτι
- επίδοση
- προσωπικός
- Phishing
- φώναξε
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- πολιτικός
- Οι πολιτικοί
- Δημοφιλής
- πρακτικές
- προηγούμενος
- Pro
- διαδικασίες
- διαδικασια μας
- Προϊόντα
- Πρόγραμμα
- Προγράμματα
- πρωτόκολλα
- χορήγηση
- ΑΡΟΥΡΑΙΟΣ
- μάλλον
- RE
- Αναγνώστης
- πρόσφατος
- συστάσεις
- τελειοποίηση
- προσφύγων
- Ανεξάρτητα
- ρυθμιστές
- βασίζονται
- μακρινός
- έρευνα
- Δωμάτιο
- κανόνες
- s
- πριόνι
- λέει
- σκηνή
- προστατευμένο περιβάλλον
- Επιδιώξτε
- δει
- επιλογή
- στείλετε
- αρχαιότερος
- ευαίσθητος
- αυτή
- ιστοσελίδα
- Sites
- So
- Μ.Κ.Δ
- Κοινωνική μηχανική
- social media
- λογισμικό
- SolarWinds
- λύση
- Spears Phishing
- ΧΟΡΗΓΟΥΜΕΝΟΙ
- Spot
- πρότυπο
- Εκκίνηση
- Κατάσταση
- Μελών
- Στρατηγική
- δυνατά
- Ακολούθως
- τέτοιος
- Προτείνει
- Επιφάνεια
- σύστημα
- συστήματα
- τακτική
- επειξειργασμένος από ραπτήν
- στόχος
- στοχευμένες
- στόχευση
- στόχους
- Τεχνικός
- τεχνικές
- από
- ότι
- Η
- το Ηνωμένο Βασίλειο
- τους
- Τους
- τότε
- Εκεί.
- αυτοί
- Σκέψη
- αυτό
- απειλή
- Μέσω
- προς την
- ΚΙΝΗΣΗ στους ΔΡΟΜΟΥΣ
- εκπαιδευμένο
- Εκπαίδευση
- Εμπιστευθείτε
- Uk
- Ukraine
- Ουκρανικά
- μονάδα
- Ενωμένος
- United States
- Ενημέρωση
- us
- χρήση
- μεταχειρισμένος
- Χρήστες
- Χρήστες
- χρησιμοποιώντας
- πάροχος υπηρεσιών
- πωλητές
- εκδοχή
- Θύμα
- θύματα
- Ήφαιστος
- Ευάλωτες
- ήταν
- we
- Ιστοσελίδα : www.example.gr
- ιστοσελίδες
- ήταν
- Τι
- αν
- Ποιό
- Ο ΟΠΟΊΟΣ
- με
- λόγια
- εργαζόμενος
- λειτουργεί
- Εσείς
- zephyrnet