RomCom으로 알려진 위협 행위자가 다시 현장으로 돌아와 전쟁으로 폐허가 된 국가에서 탈출하는 난민을 지원하는 데 관여하는 우크라이나 정치인과 미국 의료 기관을 표적으로 삼았습니다.
이 공격은 Devolutions Remote Desktop Manager의 트로이 목마 버전을 통해 배포됩니다. 피해자는 피싱 전술을 통해 복제된 웹사이트로 이동한 후 이 버전을 다운로드하도록 유도했을 가능성이 높습니다.
위협 그룹은 다음과 같은 형태를 사용했습니다. 타이포 스쿼팅 실제 사이트와 매우 유사한 모습을 만들기 위해 블랙베리 위협 연구 보고서 그리고 정보팀.
RomCom은 합법적인 소프트웨어 사이트와 매우 유사한 가짜 웹사이트를 만들어 이를 합법적이라고 생각하여 손상된 소프트웨어를 다운로드하고 설치하는 의심할 여지가 없는 피해자에게 악성 페이로드를 배포할 수 있습니다.
트로이 목마에 감염된 설치 프로그램은 사용자에게 파일을 설치할 대상 경로를 선택하라는 메시지가 표시된 후 악성 코드 설치를 시작합니다. 그런 다음 감염된 시스템에서 필수 호스트 및 사용자 메타데이터를 체계적으로 수집하기 시작하며, 이후 명령 및 제어(C2) 서버로 전송됩니다.
지정학적 동기를 지닌 사이버 공격
캠페인은 이 위협 행위자의 동기가 돈이 아니라 공격 전략과 표적화 방법을 안내하는 지정학적 의제임을 강력하게 시사합니다.
BlackBerry CTI 수석 이사인 Dmitry Bestuzhev에 따르면, 가짜 업데이트 알림을 전달하기 위해 대상이 사용하는 소프트웨어가 무엇인지 파악하는 것이 프로세스의 일부였습니다. 즉, RomCom RAT의 위협 행위자는 각 피해자에 대한 이전 정보(예: 사용하는 소프트웨어, 사용 방법, 작업 중인 사회 또는 정치 프로그램)에 의존합니다."
최종 게임은 민감한 정보를 유출하는 것입니다. Bestuzhev는 "우리는 RomCom이 부대 위치, 방어 및 공격 계획, 무기 및 군사 훈련 프로그램과 같은 군사 비밀을 표적으로 삼는 것을 보았습니다."라고 말합니다.
그는 우크라이나에서 온 난민들에게 지원을 제공하는 미국 기반 의료 서비스의 경우 표적 정보에는 해당 프로그램이 난민이 누구인지 확인하는 방법이 포함되어 있으며 여기에는 추가 공격에 사용될 수 있는 난민의 개인 정보도 포함되어 있다고 말했습니다.
지금까지 본 적 없는 RomCom
이전 보기 롬컴 캠페인 우크라이나 군에 대해 가짜 Advanced IP Scanner 소프트웨어를 사용하여 맬웨어를 전달했으며, 이 그룹은 SolarWinds Network Performance Monitor, KeePass Open-Source Password Manager, 그리고 PDF 리더 프로.
Critical Start의 사이버 위협 연구 수석 관리자인 Callie Guenther는 최신 캠페인에서 RomCom이 다양한 소프트웨어를 사용하는 동시에 합법적인 네트워크 트래픽과 조화를 이루도록 C2 인프라도 조정했다고 설명합니다.
"여기에는 일반적으로 정치 캠페인이나 의료 기관과 관련된 통신 프로토콜을 사용하는 것이 포함될 수 있으므로 악의적인 활동을 탐지하는 것이 더 어려워질 수 있습니다."라고 그녀는 말합니다.
그녀는 소셜 미디어가 최근 캠페인에서 중요한 부분이라고 덧붙였습니다. “RomCom은 대상 개인이나 조직에 맞춰 피싱 이메일, 스피어 피싱 또는 기타 사회 공학 기술을 사용할 수 있습니다.”라고 그녀는 설명합니다.
정치인의 경우 정치 동료나 공무원을 사칭하여 이메일 메시지를 작성할 수 있고, 의료 회사의 경우 의료 규제 당국이나 의료 장비 또는 소프트웨어 공급업체로 가장하여 이메일을 보낼 수 있습니다.
Guenther는 RomCom의 새로운 기능과 기술에 대한 적극적인 개발이 주목할 만한 수준의 정교함과 적응성을 나타낸다고 말했습니다.
“이것은 그들이 전술을 다듬고 새로운 타협 기회를 모색하면서 표적 선택이 진화할 수 있음을 시사합니다.”라고 그녀는 말합니다.
RomCom APT를 방어하는 방법
Vulcan Cyber의 수석 기술 엔지니어인 Mike Parkin은 공격자가 사이버범죄자인지 국가의 후원을 받는지 여부에 관계없이 모든 공격자에게 적용되는 표준 방어 전술이 여기에 적용된다고 말합니다.
“패치를 최신 상태로 유지하세요. 업계 모범 사례와 공급업체의 '보안 설치' 권장 사항에 따라 배포하세요.”라고 그는 말합니다. "사용자를 공격 표면의 가장 취약한 부분이 아닌 솔루션의 일부로 만드는 보안 문화를 교육하고 육성해야 합니다."
Bestuzhev는 RomCom의 배후에 있는 위협 행위자가 사회 공학과 신뢰에 의존한다고 말했습니다. 따라서 스피어 피싱을 식별하는 방법에 대한 직원 교육도 중요합니다.
"두 번째로, 시스템, 네트워크 트래픽 및 파일에서 RomCom의 작전을 탐지하기 위한 행동 규칙과 같은 상황별, 예측적, 실행 가능한 위협 인텔리전스를 제공하는 우수한 사이버 위협 인텔리전스 프로그램에 의존하는 것이 중요합니다."라고 그는 말합니다. "RomCom에 대한 이러한 맥락을 통해 전술, 기술 및 절차(TTP)와 지정학적 발전을 기반으로 효과적인 위협 모델링을 구축할 여지가 있습니다."
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- EVM 금융. 탈중앙화 금융을 위한 통합 인터페이스. 여기에서 액세스하십시오.
- 퀀텀미디어그룹. IR/PR 증폭. 여기에서 액세스하십시오.
- PlatoAiStream. Web3 데이터 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/threat-intelligence/romcom-threat-actor-targets-ukrainian-politicians-us-healthcare
- :있다
- :이다
- :아니
- :어디
- $UP
- 7
- a
- 소개
- 에 따르면
- 활동적인
- 방과 후 액티비티
- 추가
- 많은
- 후
- 반대
- 의사 일정
- 도움
- 따라
- 또한
- an
- 및
- 어떤
- 신청
- 있군요
- 무기
- AS
- 관련
- At
- 공격
- 공격
- 진정한
- 당국
- 기반으로
- BE
- 뒤에
- 존재
- BEST
- 모범 사례
- 혼합
- 건물
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- 운동
- 캠페인
- CAN
- 기능
- 케이스
- 도전
- 면밀히
- 동료
- 수집
- 일반적으로
- 의사 소통
- 회사
- 타협
- 손상된
- 문맥
- 문맥
- 수
- 국가
- 국가
- 내기
- 만들
- 만들기
- 임계
- 기르다
- 문화
- 사이버
- 사이버 공격
- 사이버범죄
- 날짜
- 방위산업
- 방어적인
- 배달하다
- 배포
- 전개
- 바탕 화면
- 목적지
- 결정
- 개발
- 개발
- 다른
- 책임자
- 배포하다
- do
- 다운로드
- 마다
- 유효한
- 이메일
- 이메일
- 종업원
- 격려
- 기사
- 엔지니어링
- 장비
- 특히
- 필수
- 진화시키다
- 압출
- 설명
- 모조품
- 파일
- 수행원
- 럭셔리
- 형태
- 에
- 추가
- 지정 학적
- 좋은
- 그룹
- he
- 건강 관리
- 여기에서 지금 확인해 보세요.
- 주인
- 방법
- How To
- HTTPS
- 중대한
- in
- 기타의
- 포함
- 포함
- 포함
- 표시
- 개인
- 산업
- 정보
- 인프라
- 설치
- 설치
- 설치
- 설치
- 인텔리전스
- 감다
- 참여
- IP
- IT
- 그
- JPG
- 유지
- 알려진
- 합법적 인
- 레벨
- 처럼
- 아마도
- 위치
- 확인
- 제작
- 유튜브 영상을 만드는 것은
- 악성 코드
- 매니저
- XNUMX월..
- 미디어
- 의료
- 의료 장비
- 메시지
- 메타 데이터
- 방법
- 수도
- 군
- 모델링
- 돈
- 모니터
- 배우기
- 가장
- 자극
- 네트워크
- 네트워크 트래픽
- 신제품
- 주목할 만한
- 노트
- 알림
- of
- 공격
- 공무원
- on
- 오픈 소스
- 기회
- or
- 주문
- 조직
- 조직
- 기타
- 부품
- 비밀번호
- 암호 관리자
- 패치
- 통로
- 성능
- 확인
- 피싱
- 계획
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 정치
- 정치인
- 인기 문서
- 사례
- 너무 이른
- 찬성
- 절차
- 방법
- 제품
- 프로그램
- 프로그램
- 프로토콜
- 제공
- 쥐
- 차라리
- RE
- 리더
- 최근
- 추천
- 수정하다
- 피난민
- 관계없이
- 규정하는
- 의지하다
- 먼
- 연구
- 방
- 규칙
- s
- 본
- 라고
- 장면
- 안전해야합니다.
- 찾으라
- 본
- 선택
- 보내다
- 연장자
- 민감한
- 그녀
- 대지
- 사이트
- So
- 사회적
- 사회 공학
- 소셜 미디어
- 소프트웨어
- SolarWinds
- 해결책
- 스피어 피싱
- 후원
- Spot
- 표준
- 스타트
- 주 정부
- 미국
- 전략
- 강하게
- 그후
- 이러한
- 제안
- 표면
- 체계
- 시스템은
- 전술
- 맞춤형
- 목표
- 대상
- 대상
- 목표
- 팀
- 테크니컬
- 기법
- 보다
- 그
- XNUMXD덴탈의
- 영국
- 그들의
- 그들
- 그때
- 그곳에.
- 그들
- 사고력
- 이
- 위협
- 을 통하여
- 에
- 교통
- 훈련 된
- 트레이닝
- 믿어
- Uk
- 우크라이나
- 우크라이나 말
- 단위
- 미국
- United States
- 업데이트
- us
- 사용
- 익숙한
- 사용자
- 사용자
- 사용
- 공급 업체
- 공급 업체
- 버전
- 희생자
- 피해자
- 불카누스
- 취약
- 였다
- we
- 웹 사이트
- 웹 사이트
- 했다
- 뭐
- 여부
- 어느
- 누구
- 과
- 말
- 일하는
- 일
- 자신의
- 제퍼 넷