De bedreigingsacteur bekend als RomCom is teruggekeerd naar het toneel en richt zich op Oekraïense politici en een gezondheidszorgorganisatie in de Verenigde Staten die betrokken is bij het helpen van vluchtelingen die het door oorlog verscheurde land ontvluchten.
De aanval wordt ingezet via een getrojaniseerde versie van Devolutions Remote Desktop Manager, die slachtoffers waarschijnlijk moesten downloaden nadat ze via phishing-tactieken naar een gekloonde website waren geleid.
De bedreigingsgroep gebruikte een vorm van typosquatting om een opvallende gelijkenis te creëren met de authentieke site, aldus de rapport van het BlackBerry Threat Research en inlichtingenteam.
Door nepwebsites te maken die sterk lijken op de legitieme softwaresites, kan RomCom kwaadaardige ladingen verspreiden onder nietsvermoedende slachtoffers die de gecompromitteerde software downloaden en installeren, in de veronderstelling dat deze legitiem is.
Het trojan-installatieprogramma begint met het installeren van malware nadat de gebruiker wordt gevraagd het bestemmingspad te selecteren waar hij de bestanden wil installeren. Vervolgens begint het systeem systematisch essentiële host- en gebruikersmetagegevens van het geïnfecteerde systeem te verzamelen, die vervolgens naar de command-and-control (C2)-server worden verzonden.
Een cyberaanval met geopolitieke motieven
De campagne suggereert sterk dat de motivatie van deze dreigingsactor niet geld is, maar eerder een geopolitieke agenda die zijn aanvalsstrategie en doelgerichtheidsmethoden stuurt.
Volgens Dmitry Bestuzhev, senior director, CTI, BlackBerry, was het onderdeel van het proces om na te gaan welke softwaredoelwitten gebruiken om valse updatemeldingen te leveren. “Met andere woorden: de dreigingsactor achter RomCom RAT vertrouwt op eerdere informatie over elk slachtoffer, zoals welke software ze gebruiken, hoe ze die gebruiken en de sociale of politieke programma’s waaraan ze werken.”
Het eindspel is de exfiltratie van gevoelige informatie. “We zagen dat RomCom zich richtte op militaire geheimen, zoals de locaties van eenheden, defensieve en offensieve plannen, wapens en militaire trainingsprogramma’s”, merkt Bestuzhev op.
Hij zegt dat de in de VS gevestigde gezondheidszorg die hulp biedt aan de vluchtelingen uit Oekraïne, de gerichte informatie omvatte hoe dat programma werkt om te bepalen wie de vluchtelingen zijn – inclusief de persoonlijke informatie van de vluchtelingen, die voor verdere aanvallen kan worden gebruikt.
Een RomCom die je nog niet eerder hebt gezien
Vorige RomCom-campagnes tegen het Oekraïense leger gebruikte valse Advanced IP Scanner-software om malware te verspreiden, en de groep heeft zich ook gericht op Engelssprekende landen – vooral het Verenigd Koninkrijk – met getrojaniseerde versies van populaire softwareproducten, waaronder SolarWinds Network Performance Monitor, KeePass Open-Source Password Manager, en PDF Reader Pro.
Callie Guenther, senior manager cyberdreigingsonderzoek bij Critical Start, legt uit dat RomCom in de meest recente campagnes, naast het gebruik van verschillende software, ook zijn C2-infrastructuur heeft aangepast om op te gaan in legitiem netwerkverkeer.
“Dit kan het gebruik van communicatieprotocollen inhouden die vaak worden geassocieerd met politieke campagnes of gezondheidszorgorganisaties, waardoor het moeilijker wordt om hun kwaadaardige activiteiten te detecteren”, zegt ze.
Ze voegt eraan toe dat sociale media een belangrijk onderdeel waren van de recente campagnes. “RomCom maakt mogelijk gebruik van phishing-e-mails, spearphishing of andere social engineering-technieken die zijn afgestemd op de beoogde individuen of organisaties”, legt ze uit.
Voor politici kunnen ze e-mailberichten maken waarin ze zich voordoen als politieke collega's of functionarissen, en in het geval van het gezondheidszorgbedrijf kunnen ze e-mails sturen waarin ze zich voordoen als regelgevende instanties in de gezondheidszorg of als leveranciers van medische apparatuur of software.
Guenther zegt dat RomCom’s actieve ontwikkeling van nieuwe mogelijkheden en technieken wijst op een opmerkelijk niveau van verfijning en aanpassingsvermogen.
“Dit suggereert dat hun doelgroepselectie kan evolueren naarmate ze hun tactieken verfijnen en nieuwe mogelijkheden voor compromissen zoeken”, zegt ze.
Hoe je je kunt verdedigen tegen de RomCom APT
Mike Parkin, senior technisch ingenieur bij Vulcan Cyber, zegt dat hier de standaard verdedigingstactieken van toepassing zijn, zoals bij elke aanvaller, ongeacht of deze cybercrimineel of door de staat gesponsord is.
“Houd patches up-to-date. Implementeer de volgende best practices uit de sector en de aanbevelingen voor veilige installatie van leveranciers”, zegt hij. “Zorg ervoor dat gebruikers worden getraind en een veilige cultuur cultiveren, waardoor ze deel uitmaken van de oplossing in plaats van het meest kwetsbare deel van het aanvalsoppervlak.”
Bestuzhev zegt dat de dreigingsactor achter RomCom vertrouwt op social engineering en vertrouwen. Het is dus ook belangrijk om medewerkers te trainen in het herkennen van spearphishing.
“Ten tweede is het belangrijk om te vertrouwen op een goed informatieprogramma over cyberdreigingen dat contextuele, anticiperende en bruikbare informatie over dreigingen biedt, zoals gedragsregels om de activiteiten van RomCom in de systemen, het netwerkverkeer en de bestanden te detecteren”, zegt hij. “Met deze context over RomCom is er ruimte voor het bouwen van een effectief dreigingsmodel op basis van de tactieken, technieken en procedures (TTP) en geopolitieke ontwikkelingen.”
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- EVM Financiën. Uniforme interface voor gedecentraliseerde financiën. Toegang hier.
- Quantum Media Groep. IR/PR versterkt. Toegang hier.
- PlatoAiStream. Web3 gegevensintelligentie. Kennis versterkt. Toegang hier.
- Bron: https://www.darkreading.com/threat-intelligence/romcom-threat-actor-targets-ukrainian-politicians-us-healthcare
- : heeft
- :is
- :niet
- :waar
- $UP
- 7
- a
- Over
- Volgens
- actieve
- activiteiten
- Voegt
- vergevorderd
- Na
- tegen
- agenda
- Steun
- langs
- ook
- an
- en
- elke
- Solliciteer
- ZIJN
- armen
- AS
- geassocieerd
- At
- aanvallen
- Aanvallen
- Authentiek
- Overheid
- gebaseerde
- BE
- achter
- wezen
- BEST
- 'best practices'
- Blend
- Gebouw
- maar
- Campagne
- Campagnes
- CAN
- mogelijkheden
- geval
- uitdagend
- van nabij
- collega's
- Het verzamelen van
- algemeen
- Communicatie
- afstand
- compromis
- Aangetast
- verband
- contextual
- kon
- landen
- Land
- ambachtelijke
- en je merk te creëren
- Wij creëren
- kritisch
- verbouwen
- Culture
- cyber
- Cyber aanval
- CYBERCRIMINEEL
- Datum
- Verdediging
- defensief
- leveren
- implementeren
- inzet
- desktop
- bestemming
- Bepalen
- Ontwikkeling
- ontwikkelingen
- anders
- Director
- verdelen
- do
- Download
- elk
- effectief
- e-mails
- Werknemer
- aangemoedigd
- ingenieur
- Engineering
- uitrusting
- vooral
- essentieel
- ontwikkelen
- exfiltratie
- Verklaart
- nep
- Bestanden
- volgend
- Voor
- formulier
- oppompen van
- verder
- geopolitiek
- goed
- Groep
- he
- gezondheidszorg
- hier
- gastheer
- Hoe
- How To
- HTTPS
- belangrijk
- in
- Anders
- inclusief
- omvat
- Inclusief
- geeft aan
- individuen
- -industrie
- informatie
- Infrastructuur
- installeren
- installatie
- geïnstalleerd
- installeren
- Intelligentie
- betrekken
- betrokken zijn
- IP
- IT
- HAAR
- jpg
- Houden
- bekend
- rechtmatig
- Niveau
- als
- Waarschijnlijk
- locaties
- maken
- MERKEN
- maken
- malware
- manager
- Mei..
- Media
- medisch
- medische apparatuur
- berichten
- Metadata
- methoden
- macht
- Leger
- modellering
- geld
- monitor
- meer
- meest
- Motivatie
- netwerk
- netwerk verkeer
- New
- opvallend
- Opmerkingen
- meldingen
- of
- aanvallend
- ambtenaren
- on
- open source
- Kansen
- or
- bestellen
- organisatie
- organisaties
- Overige
- deel
- Wachtwoord
- Password Manager
- Patches
- pad
- prestatie
- persoonlijk
- Phishing
- plannen
- Plato
- Plato gegevensintelligentie
- PlatoData
- politiek
- Politici
- Populair
- praktijken
- vorig
- Pro
- procedures
- Producten
- Programma
- Programma's
- protocollen
- het verstrekken van
- RAT
- liever
- RE
- Lezer
- recent
- aanbevelingen
- verfijnen
- vluchtelingen
- achteloos
- regelgevers
- vertrouwen
- vanop
- onderzoek
- Kamer
- reglement
- s
- zagen
- zegt
- scène
- beveiligen
- Zoeken
- gezien
- selectie
- sturen
- senior
- gevoelig
- ze
- website
- Locaties
- So
- Social
- Social engineering
- social media
- Software
- SolarWinds
- oplossing
- Speervissen
- Gesponsorde
- Spot
- standaard
- begin
- Land
- Staten
- Strategie
- sterk
- Hierop volgend
- dergelijk
- Stelt voor
- Oppervlak
- system
- Systems
- tactiek
- op maat gemaakt
- doelwit
- doelgerichte
- targeting
- doelen
- team
- Technisch
- technieken
- neem contact
- dat
- De
- Brittannië
- hun
- Ze
- harte
- Er.
- ze
- het denken
- dit
- bedreiging
- Door
- naar
- verkeer
- getraind
- Trainingen
- Trust
- Uk
- Oekraïne
- Oekraïens
- eenheid
- United
- Verenigde Staten
- bijwerken
- us
- .
- gebruikt
- Gebruiker
- gebruikers
- gebruik
- verkoper
- vendors
- versie
- Slachtoffer
- slachtoffers
- vulcaan
- Kwetsbaar
- was
- we
- Website
- websites
- waren
- Wat
- of
- welke
- WIE
- Met
- woorden
- werkzaam
- Bedrijven
- You
- zephyrnet