Το κακόβουλο λογισμικό RomCom προκαλεί θύματα με «τυλιγμένα» SolarWinds, λογισμικό KeePass

Η ομάδα απειλών RomCom χρησιμοποιεί ενεργά trojanized εκδόσεις δημοφιλών προϊόντων λογισμικού, συμπεριλαμβανομένων των SolarWinds Network Performance Monitor, KeePass Open-Source Password Manager και PDF Reader Pro, για να στοχεύσει διάφορες αγγλόφωνες χώρες — ιδίως το Ηνωμένο Βασίλειο — με απομακρυσμένη πρόσβαση Trojan ( ΑΡΟΥΡΑΙΟΣ). Είναι μια απόκλιση σε τακτικές, τεχνικές και διαδικασίες για την προηγμένη επίμονη απειλή (APT).

Κατά τη διάρκεια μιας ανάλυσης μιας προηγούμενης εκστρατείας RomCom RAT εναντίον του στρατού της Ουκρανίας που χρησιμοποίησε ψεύτικο λογισμικό Advanced IP Scanner για την παράδοση κακόβουλου λογισμικού, η ομάδα έρευνας απειλών και πληροφοριών στο BlackBerry ανακάλυψε επιπλέον, περισσότερα εκστρατείες σε άλλες γεωγραφικές τοποθεσίες. Οι ερευνητές προσδιόρισαν το Ηνωμένο Βασίλειο και άλλες αγγλόφωνες χώρες νέους στόχους RomCom με βάση την ανάλυση των όρων παροχής υπηρεσιών και των πιστοποιητικών SSL ενός νέου διακομιστή εντολών και ελέγχου, ο οποίος καταχωρήθηκε στο Η.Β.

Ο Dmitry Bestuzhev, διακεκριμένος ερευνητής απειλών της BlackBerry, λέει στο Dark Reading ότι το Ηνωμένο Βασίλειο είναι πλέον στην πραγματικότητα ένας από τους μεγαλύτερους στόχους της RomCom, με βάση την ανάλυση της Blackberry.

«Είναι προβλέψιμο, αφού οι ΗΠΑ και το Ηνωμένο Βασίλειο ήταν οι πιο ενεργοί υποστηρικτές της Ουκρανίας στον πόλεμο με τη Ρωσία», λέει ο Bestuzhev.

Μόλις απορριφθεί, το RomCom RAT έχει σχεδιαστεί για την εξαγωγή τυχόν ευαίσθητων δεδομένων ή κωδικών πρόσβασης.

"Οι πληροφορίες είναι πολύτιμες και όταν είναι στρατηγικές, βοηθούν τον εισβολέα να δημιουργήσει καλύτερες επιθετικές στρατηγικές και να εκμεταλλευτεί σε οποιονδήποτε τομέα", προσθέτει ο Bestuzhev. «Η γεωπολιτική θα θέσει νέους στόχους. Δεδομένου ότι η RomCom έχει εκτεθεί ευρέως, είναι λογικό να πιστεύουμε ότι η ομάδα πίσω από αυτήν μπορεί να αλλάξει τα TTP της».

Αυτή δεν είναι η πρώτη αλλαγή στρατηγικής για την ομάδα. «Όταν ανακαλύφθηκε το RomCom, συνδέθηκε δημόσια με ransomware», λέει ο Bestuzhev. «Οι πιο πρόσφατες εκστρατείες αποδεικνύουν ότι το κίνητρο αυτού του παράγοντα απειλής δεν είναι τα χρήματα. Υπάρχει μια γεωπολιτική ατζέντα που καθορίζει τους νέους στόχους».

RomCom RAT's Wrap

Το πρόγραμμα trojanizing δεν είναι τρομερά περίπλοκο, εξήγησε η ομάδα BlackBerry στην έκθεσή της.

Η RomCom ξύνει τον κώδικα από τον προμηθευτή λογισμικού που θέλει να χρησιμοποιήσει το APT, καταχωρεί έναν κακόβουλο τομέα που είναι πιθανό να ξεγελάσει τον χρήστη με τυπογραφικές καταλήψεις ή παρόμοιες τακτικές, τρωανοποιεί την πραγματική εφαρμογή και, στη συνέχεια, ανεβάζει το κακόβουλο λογισμικό στον πλαστογραφημένο ιστότοπο. Στη συνέχεια στέλνει ένα δέλεαρ phishing στον επιδιωκόμενο στόχο μέσω διαφόρων καναλιών, και το boom — στόχος διακυβεύεται.

Η προσέγγιση αναδίπλωσης δεν είναι νέα, λέει ο Andrew Barratt, αντιπρόεδρος της Coalfire, στο Dark Reading. άλλα APT και ομάδες όπως το FIN7 έχουν χρησιμοποιήσει παρόμοιες τακτικές.

«Αυτή η επίθεση μοιάζει να είναι ένα άμεσο αντίγραφο ορισμένων επιθέσεων που ερευνήσαμε κατά τη διάρκεια της πανδημίας, όπου είδαμε μια σειρά από εργαλεία υποστήριξης προϊόντων προμηθευτών να μιμούνται ή να «τυλίγονται» με κακόβουλο λογισμικό», λέει ο Barratt. "Η διαδικασία "αναδίπλωσης" σημαίνει ότι το υποκείμενο νόμιμο εργαλείο εξακολουθεί να αναπτύσσεται, αλλά ως μέρος αυτής της ανάπτυξης, κάποιο κακόβουλο λογισμικό απορρίπτεται στο περιβάλλον στόχο."

RomCom Στόχευση Ανθρώπων

Για να υπερασπιστούμε τις επιθέσεις της RomCom, ο Mike Parkin, ανώτερος τεχνικός μηχανικός της Vulcan Cyber, συνιστά να ξεχάσουμε την πτυχή της κρατικής κατασκοπείας της εκστρατείας και αντ' αυτού να εστιάσουμε στην κοινωνική μηχανική και στους πραγματικούς στόχους - τα άτομα.

«Με την τρέχουσα γεωπολιτική κατάσταση, είναι πολύ πιθανό να υπάρχει μια κρατική ανάμειξη στα παρασκήνια. Στον πυρήνα της, όμως, αυτή είναι μια επίθεση εναντίον ανθρώπινων στόχων», εξηγεί ο Πάρκιν στο Dark Reading. «Βασίζονται κατά κύριο λόγο στα θύματα που έχουν σχεδιαστεί κοινωνικά μέσω email για να μεταβούν σε έναν κακόβουλο ιστότοπο που είναι μεταμφιεσμένος ως νόμιμος. Αυτό κάνει τους χρήστες την πρώτη γραμμή άμυνας, καθώς και την κύρια επιφάνεια επίθεσης.»