A RomCom néven ismert fenyegetettség szereplője visszatért a színre, célpontja ukrán politikusok és az Egyesült Államokban működő egészségügyi szervezet, amely a háború sújtotta országból elmenekült menekültek megsegítésében vesz részt.
Ezt a támadást a Devolutions Remote Desktop Manager trójai verzióján keresztül hajtják végre, amelynek letöltésére az áldozatokat valószínűleg azután ösztönözték, hogy adathalász taktika révén egy klónozott webhelyre irányították őket.
A fenyegetett csoport egy formát használt elgépelés hogy feltűnő hasonlóságot hozzon létre az autentikus oldallal szerint a a BlackBerry Threat Research jelentése és a hírszerző csapat.
Azáltal, hogy hamis weboldalakat hoz létre, amelyek nagyon hasonlítanak a legális szoftveroldalakra, a RomCom rosszindulatú rakományokat terjeszthet a gyanútlan áldozatoknak, akik letöltik és telepítik a feltört szoftvert, azt gondolva, hogy jogos.
A trójai telepítő azután kezdi meg a rosszindulatú programok telepítését, hogy a felhasználónak válassza ki a cél elérési utat, ahová a fájlokat telepíteni szeretné. Ezután elkezdi szisztematikusan gyűjteni a fertőzött rendszer lényeges gazdagép- és felhasználói metaadatait, amelyeket ezt követően továbbít a parancs- és vezérlő (C2) szerverére.
Geopolitikai indíttatású kibertámadás
A kampány határozottan azt sugallja, hogy ennek a fenyegető szereplőnek a motivációja nem a pénz, hanem egy geopolitikai menetrend, amely irányítja támadási stratégiáját és célzási módszereit.
Dmitrij Bestuzhev, a BlackBerry CTI vezető igazgatója szerint a folyamat része volt annak felderítése, hogy milyen szoftvercélpontok küldenek hamis frissítési értesítéseket. „Más szóval, a RomCom RAT mögött álló fenyegetettség szereplője az egyes áldozatokkal kapcsolatos korábbi információkra támaszkodik, például milyen szoftvert használnak, hogyan használják, és milyen társadalmi vagy politikai programokon dolgoznak.”
A végjáték az érzékeny információk kiszűrése. „Láttuk, hogy a RomCom katonai titkokat céloz meg, például egységek elhelyezkedését, védelmi és támadó terveket, fegyvereket [és] katonai kiképzési programokat” – jegyzi meg Bestuzhev.
Azt mondja, hogy az Ukrajnából érkező menekülteket segítő amerikai egészségügyi ellátással a célzott információk között szerepelt, hogy a program hogyan működik a menekültek kilétének meghatározására – beleértve a menekültek személyes adatait is, amelyeket további támadásokhoz lehet felhasználni.
Egy RomCom, amit még nem láttál
Előző RomCom kampányok az ukrán hadsereg ellen hamis Advanced IP Scanner szoftvert használt a rosszindulatú programok szállítására, és a csoport az angol nyelvű országokat – különösen az Egyesült Királyságot – is megcélozta népszerű szoftvertermékek trójai verzióival, mint például a SolarWinds Network Performance Monitor, a KeePass Open-Source Password Manager, és PDF Reader Pro.
Callie Guenther, a Critical Start kiberfenyegetések kutatásának vezető menedzsere elmagyarázza, hogy a legutóbbi kampányokban a különböző szoftverek használata mellett a RomCom a C2 infrastruktúráját is úgy alakította át, hogy beleolvadjon a legitim hálózati forgalomba.
„Ez magában foglalhatja a politikai kampányokhoz vagy egészségügyi szervezetekhez gyakran kapcsolódó kommunikációs protokollok használatát, ami nagyobb kihívást jelent a rosszindulatú tevékenységeik észlelése” – mondja.
Hozzáteszi, hogy a közösségi média fontos része volt a legutóbbi kampányoknak. „A RomCom alkalmazhat adathalász e-maileket, adathalászatot vagy más, a megcélzott személyekre vagy szervezetekre szabott social engineering technikákat” – magyarázza.
A politikusok számára olyan e-mail üzeneteket készíthetnek, amelyek politikus kollégáik vagy tisztviselőinek adják ki magukat, az egészségügyi társaságok esetében pedig egészségügyi szabályozó hatóságoknak vagy orvosi berendezések vagy szoftverek szállítóinak adják ki magukat.
Guenther szerint a RomCom új képességek és technikák aktív fejlesztése a kifinomultság és az alkalmazkodóképesség figyelemre méltó szintjét jelzi.
„Ez azt sugallja, hogy a célpont kiválasztása módosulhat, ahogy finomítják taktikájukat, és új lehetőségeket keresnek a kompromisszumra” – mondja.
Hogyan védekezzünk a RomCom APT ellen
Mike Parkin, a Vulcan Cyber vezető műszaki mérnöke szerint a szabványos védelmi taktikák itt is érvényesek, mint minden támadóra, függetlenül attól, hogy kiberbűnözők vagy államilag támogatottak.
„Tartsa naprakészen a javításokat. Kövesse a bevált iparági gyakorlatokat és a gyártók „biztonságos telepítésre” vonatkozó ajánlásait” – mondja. "Győződjön meg arról, hogy a felhasználók képzettek, és olyan biztonságos kultúrát ápolnak, amely a megoldás részévé teszi őket, nem pedig a támadási felület legsebezhetőbb részévé."
Bestuzhev szerint a RomCom mögött álló fenyegetettség szereplője a társadalmi tervezésre és a bizalomra támaszkodik. Ezért az alkalmazottak képzése is fontos az adathalászat észlelésére vonatkozóan.
„Másodszor fontos, hogy egy jó kiberfenyegetés-felderítő programra támaszkodjunk, amely kontextusfüggő, előrejelző és végrehajtható fenyegetések intelligenciát biztosít, például viselkedési szabályokat a RomCom műveleteinek a rendszerekben, a hálózati forgalomban és a fájlokban történő észlelésére” – mondja. „A RomCom-ra vonatkozó ilyen kontextusban lehetőség nyílik egy hatékony fenyegetésmodellezés felépítésére, amely a taktikán, technikákon és eljárásokon (TTP) és a geopolitikai fejleményeken alapul.”
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- EVM Finance. Egységes felület a decentralizált pénzügyekhez. Hozzáférés itt.
- Quantum Media Group. IR/PR erősített. Hozzáférés itt.
- PlatoAiStream. Web3 adatintelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://www.darkreading.com/threat-intelligence/romcom-threat-actor-targets-ukrainian-politicians-us-healthcare
- :van
- :is
- :nem
- :ahol
- $ UP
- 7
- a
- Rólunk
- Szerint
- aktív
- tevékenységek
- Hozzáteszi
- fejlett
- Után
- ellen
- napirend
- Támogatás
- mentén
- Is
- an
- és a
- bármilyen
- alkalmaz
- VANNAK
- fegyver
- AS
- társult
- At
- támadás
- Támadások
- Hiteles
- Hatóság
- alapján
- BE
- mögött
- hogy
- BEST
- legjobb gyakorlatok
- Keverék
- Épület
- de
- Kampány
- Kampányok
- TUD
- képességek
- eset
- kihívást
- szorosan
- munkatársai
- Gyűjtő
- általában
- közlés
- vállalat
- kompromisszum
- Veszélyeztetett
- kontextus
- szövegre vonatkozó
- tudott
- országok
- ország
- kézműves
- teremt
- létrehozása
- kritikai
- Művelni
- kultúra
- cyber
- cyberattack
- KIBERBŰNÖZŐ
- találka
- Védelem
- védekező
- szállít
- telepíteni
- bevetés
- asztali
- rendeltetési hely
- Határozzuk meg
- Fejlesztés
- fejlesztések
- különböző
- Igazgató
- terjeszteni
- do
- letöltés
- minden
- Hatékony
- e-mailek
- munkavállaló
- ösztönözni
- mérnök
- Mérnöki
- felszerelés
- különösen
- alapvető
- fejlődik
- kiszűrés
- Elmagyarázza
- hamisítvány
- Fájlok
- következő
- A
- forma
- ból ből
- további
- geopolitikai
- jó
- Csoport
- he
- egészségügyi
- itt
- vendéglátó
- Hogyan
- How To
- HTTPS
- fontos
- in
- Más
- beleértve
- magában foglalja a
- Beleértve
- jelzi
- egyének
- ipar
- információ
- Infrastruktúra
- telepíteni
- telepítés
- telepítve
- telepítése
- Intelligencia
- vonja
- részt
- IP
- IT
- ITS
- jpg
- Tart
- ismert
- jogos
- szint
- mint
- Valószínű
- helyszínek
- csinál
- KÉSZÍT
- Gyártás
- malware
- menedzser
- Lehet..
- Média
- orvosi
- orvosi felszerelés
- üzenetek
- Metaadatok
- mód
- esetleg
- Katonai
- modellezés
- pénz
- monitor
- több
- a legtöbb
- Motiváció
- hálózat
- hálózati forgalom
- Új
- figyelemre méltó
- Megjegyzések
- értesítések
- of
- támadó
- tisztviselők
- on
- nyílt forráskódú
- Lehetőségek
- or
- érdekében
- szervezet
- szervezetek
- Más
- rész
- Jelszó
- Password Manager
- Patches
- ösvény
- teljesítmény
- személyes
- Adathalászat
- tervek
- Plató
- Platón adatintelligencia
- PlatoData
- politikai
- politikusok
- Népszerű
- gyakorlat
- előző
- per
- eljárások
- folyamat
- Termékek
- Program
- Programok
- protokollok
- amely
- PATKÁNY
- Inkább
- RE
- Olvasó
- új
- ajánlások
- finomítani
- menekültek
- Tekintet nélkül
- szabályozók
- támaszkodnak
- távoli
- kutatás
- Szoba
- szabályok
- s
- látta
- azt mondja,
- színhely
- biztonság
- Keresnek
- látott
- kiválasztás
- küld
- idősebb
- érzékeny
- ő
- weboldal
- Webhely (ek)
- So
- Közösség
- Szociális tervezés
- Közösségi média
- szoftver
- SolarWinds
- megoldások
- Lándzsa adathalászat
- Szponzorált
- Spot
- standard
- kezdet
- Állami
- Államok
- Stratégia
- erősen
- Később
- ilyen
- javasolja,
- felületi
- rendszer
- Systems
- taktika
- szabott
- cél
- célzott
- célzás
- célok
- csapat
- Műszaki
- technikák
- mint
- hogy
- A
- Az Egyesült Királyságban
- azok
- Őket
- akkor
- Ott.
- ők
- Gondolkodás
- ezt
- fenyegetés
- Keresztül
- nak nek
- forgalom
- kiképzett
- Képzések
- Bízzon
- Uk
- Ukrajna
- ukrán
- egység
- Egyesült
- Egyesült Államok
- Frissítések
- us
- használ
- használt
- használó
- Felhasználók
- segítségével
- eladó
- gyártók
- változat
- Áldozat
- áldozatok
- vulkán
- Sebezhető
- volt
- we
- weboldal
- honlapok
- voltak
- Mit
- vajon
- ami
- WHO
- val vel
- szavak
- dolgozó
- művek
- te
- zephyrnet