Ohunäitleja, keda tuntakse RomComina, naasis sündmuskohale, võttes sihikule Ukraina poliitikud ja USA tervishoiuorganisatsioon, mis tegeleb sõjast räsitud riigist põgenevate põgenike abistamisega.
Selle rünnaku juurutamine toimub Devolutions Remote Desktop Manageri troojastatud versiooni kaudu, mille ohvreid julgustati tõenäoliselt alla laadima pärast seda, kui nad suunati andmepüügitaktika abil kloonitud veebisaidile.
Ohurühm kasutas vormi kirjaviga et luua silmatorkav sarnasus autentse saidiga, vastavalt BlackBerry Threat Researchi aruanne ja luuremeeskond.
Luues võltsveebisaite, mis sarnanevad väga legitiimse tarkvara saitidega, võib RomCom levitada pahatahtlikku lasti pahaaimamatutele ohvritele, kes laadivad alla ja installivad ohustatud tarkvara, arvates, et see on seaduslik.
Troojastatud installer alustab pahavara installimist pärast seda, kui kasutajal palutakse valida sihttee, kuhu ta soovib faile installida. Seejärel hakkab see süstemaatiliselt koguma nakatunud süsteemist olulisi hosti ja kasutaja metaandmeid, mis seejärel edastatakse selle käsu- ja juhtimisserverisse (C2).
Geopoliitilistel motiividel küberrünnak
Kampaania viitab kindlalt sellele, et selle ohus osaleja motivatsioon ei ole raha, vaid pigem geopoliitiline tegevuskava, mis juhib tema rünnakustrateegiat ja sihtimismeetodeid.
BlackBerry CTI vanemdirektori Dmitri Bestuževi sõnul oli protsessi osa väljaselgitamine, millist tarkvara sihtmärgid kasutavad võltsitud värskendusteatiste edastamiseks. "Teisisõnu tugineb RomCom RATi taga olev ohus osaleja varasemale teabele iga ohvri kohta, näiteks millist tarkvara nad kasutavad, kuidas nad seda kasutavad ja milliste sotsiaalsete või poliitiliste programmidega nad töötavad."
Lõppmäng on tundliku teabe väljafiltreerimine. "Nägime, et RomCom sihib sõjalisi saladusi, nagu üksuste asukohad, kaitse- ja rünnakuplaanid, relvad ja sõjalised väljaõppeprogrammid," märgib Bestužev.
Ta ütleb, et USA-s asuv tervishoiuteenus, mis pakub abi Ukrainast pärit põgenikele, hõlmas sihitud teavet, kuidas see programm töötab, et teha kindlaks, kes pagulased on – see hõlmab pagulaste isikuandmeid, mida saab kasutada edasisteks rünnakuteks.
RomCom, mida te pole varem näinud
eelmine RomComi kampaaniad Ukraina sõjavägi kasutas pahavara edastamiseks võltsitud Advanced IP Scanneri tarkvara ning rühm on võtnud sihikule ka ingliskeelsed riigid – eriti Ühendkuningriik – populaarsete tarkvaratoodete troojastatud versioonidega, sealhulgas SolarWinds Network Performance Monitor, KeePassi avatud lähtekoodiga paroolihaldur, ja PDF Reader Pro.
Callie Guenther, Critical Starti küberohtude uurimise vanemjuht, selgitab, et viimaste kampaaniate käigus kohandas RomCom koos erineva tarkvara kasutamisega ka oma C2 infrastruktuuri legitiimse võrguliiklusega sulandumiseks.
"See võib hõlmata suhtlusprotokollide kasutamist, mida tavaliselt seostatakse poliitiliste kampaaniate või tervishoiuorganisatsioonidega, muutes nende pahatahtliku tegevuse tuvastamise keerulisemaks, " ütleb ta.
Ta lisab, et sotsiaalmeedia oli viimaste kampaaniate oluline osa. "RomCom võib kasutada andmepüügi e-kirju, andmepüüki või muid sotsiaalse manipuleerimise tehnikaid, mis on kohandatud sihitud isikutele või organisatsioonidele," selgitab ta.
Poliitikute jaoks võivad nad koostada meilisõnumeid, mis esinevad poliitiliste kolleegide või ametnikena, ja tervishoiuettevõtte puhul võivad nad saata e-kirju, mis esinevad tervishoiu reguleerivate asutuste või meditsiiniseadmete või -tarkvara müüjatena.
Guenther ütleb, et RomComi aktiivne uute võimaluste ja tehnikate arendamine näitab märkimisväärset keerukuse ja kohanemisvõime taset.
"See viitab sellele, et nende sihtmärgi valik võib areneda, kui nad oma taktikat täpsustavad ja uusi kompromissivõimalusi otsivad," ütleb ta.
Kuidas kaitsta end RomCom APT vastu
Vulcan Cyberi vanemtehniline insener Mike Parkin ütleb, et siin kehtivad standardsed kaitsetaktikad nagu iga ründaja puhul, olenemata sellest, kas tegemist on küberkurjategijate või riigi sponsoriga.
"Hoidke plaastreid ajakohasena. Järgige valdkonna parimaid tavasid ja müüja "turvalise installi" soovitusi, ”ütleb ta. "Veenduge, et kasutajad oleksid koolitatud ja arendaksid turvalist kultuuri, mis muudab nad pigem lahenduse osaks kui ründepinna kõige haavatavamaks osaks."
Bestužev ütleb, et RomComi taga seisev ohutegija toetub sotsiaalsele manipuleerimisele ja usaldusele. Seega on oluline ka töötajate koolitamine oda andmepüügi tuvastamiseks.
"Teiseks on oluline tugineda heale küberohtude luureprogrammile, mis pakub kontekstipõhist, ennetavat ja rakendatavat ohuteavet, näiteks käitumisreeglid RomComi operatsioonide tuvastamiseks süsteemides, võrguliikluses ja failides," ütleb ta. "Selles RomComi kontekstis on ruumi tõhusa ohu modelleerimise loomiseks, mis põhineb taktikal, tehnikatel ja protseduuridel (TTP) ning geopoliitilistel arengutel."
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- EVM Finance. Detsentraliseeritud rahanduse ühtne liides. Juurdepääs siia.
- Quantum Media Group. IR/PR võimendatud. Juurdepääs siia.
- PlatoAiStream. Web3 andmete luure. Täiustatud teadmised. Juurdepääs siia.
- Allikas: https://www.darkreading.com/threat-intelligence/romcom-threat-actor-targets-ukrainian-politicians-us-healthcare
- :on
- :on
- :mitte
- : kus
- $ UP
- 7
- a
- MEIST
- Vastavalt
- aktiivne
- tegevus
- Lisab
- edasijõudnud
- pärast
- vastu
- päevakord
- Abi
- mööda
- Ka
- an
- ja
- mistahes
- kehtima
- OLEME
- relvad
- AS
- seotud
- At
- rünnak
- Reageerib
- Autentne
- Asutused
- põhineb
- BE
- taga
- on
- BEST
- parimaid tavasid
- Segu
- Ehitus
- kuid
- Kampaania
- Kampaaniad
- CAN
- võimeid
- juhul
- raske
- lähedalt
- kolleegidega
- Kollektsioneerimine
- tavaliselt
- KOMMUNIKATSIOON
- ettevõte
- kompromiss
- Kompromissitud
- kontekst
- kontekstuaalne
- võiks
- riikides
- riik
- käsitöö
- looma
- loomine
- kriitiline
- Kasvatada
- kultuur
- cyber
- Küberrünnak
- KÜBERKRIMINAAL
- kuupäev
- kaitse
- kaitsev
- tarnima
- juurutada
- kasutuselevõtu
- lauaarvuti
- sihtkoht
- Määrama
- & Tarkvaraarendus
- arenguid
- erinev
- Juhataja
- levitada
- do
- lae alla
- iga
- Tõhus
- kirju
- Töötaja
- julgustada
- insener
- Inseneriteadus
- seadmed
- eriti
- oluline
- arenema
- eksfiltreerimine
- Selgitab
- võlts
- Faile
- Järel
- eest
- vorm
- Alates
- edasi
- geopoliitiline
- hea
- Grupp
- he
- tervishoid
- siin
- võõrustaja
- Kuidas
- Kuidas
- HTTPS
- oluline
- in
- Teistes
- lisatud
- hõlmab
- Kaasa arvatud
- näitab
- inimesed
- tööstus
- info
- Infrastruktuur
- paigaldama
- paigaldamine
- paigaldatud
- paigaldamine
- Intelligentsus
- kaasama
- seotud
- IP
- IT
- ITS
- jpg
- hoidma
- teatud
- õigustatud
- Tase
- nagu
- Tõenäoliselt
- kohad
- tegema
- TEEB
- Tegemine
- malware
- juht
- mai..
- Meedia
- meditsiini-
- meditsiiniseadmed
- kirjad
- Metaandmed
- meetodid
- võib
- Sõjaline
- modelleerimine
- raha
- Jälgida
- rohkem
- kõige
- Motiveerimine
- võrk
- võrguliiklus
- Uus
- märkimisväärne
- märkused
- teated
- of
- solvav
- ametnikud
- on
- avatud lähtekoodiga
- Võimalused
- or
- et
- organisatsioon
- organisatsioonid
- Muu
- osa
- Parool
- Password Manager
- Paikade
- tee
- jõudlus
- isiklik
- Phishing
- plaanid
- Platon
- Platoni andmete intelligentsus
- PlatoData
- poliitiline
- Poliitikud
- populaarne
- tavad
- eelmine
- Pro
- menetlused
- protsess
- Toodet
- Programm
- Programmid
- protokollid
- pakkudes
- ROT
- pigem
- RE
- lugeja
- hiljuti
- soovitused
- filtreeri
- pagulaste
- Sõltumata sellest
- regulatiivne
- lootma
- kauge
- teadustöö
- ruum
- eeskirjade
- s
- nägin
- ütleb
- stseen
- kindlustama
- otsima
- nähtud
- valik
- saatma
- vanem
- tundlik
- ta
- site
- Saidid
- So
- sotsiaalmeedia
- Sotsiaaltehnoloogia
- Sotsiaalse meedia
- tarkvara
- SolarWinds
- lahendus
- Oda õngitsemine
- Sponsorite
- Kaubandus-
- standard
- algus
- riik
- Ühendriigid
- Strateegia
- tugevalt
- Järgnevalt
- selline
- Soovitab
- Pind
- süsteem
- süsteemid
- taktika
- kohandatud
- sihtmärk
- suunatud
- sihtimine
- eesmärgid
- meeskond
- Tehniline
- tehnikat
- kui
- et
- .
- Suurbritannia
- oma
- Neile
- SIIS
- Seal.
- nad
- Mõtlemine
- see
- oht
- Läbi
- et
- liiklus
- koolitatud
- koolitus
- Usalda
- Uk
- Ukraina
- ukraina
- üksus
- Ühendatud
- Ühendriigid
- Värskendused
- us
- kasutama
- Kasutatud
- Kasutaja
- Kasutajad
- kasutamine
- müüja
- müüjad
- versioon
- Ohver
- ohvreid
- Vulcan
- Haavatav
- oli
- we
- veebisait
- veebilehed
- olid
- M
- kas
- mis
- WHO
- koos
- sõnad
- töö
- töötab
- sa
- sephyrnet