Trusselaktøren kjent som RomCom har returnert til scenen, rettet mot ukrainske politikere og en helseorganisasjon i USA som er involvert i å hjelpe flyktninger på flukt fra det krigsherjede landet.
Utplasseringen av dette angrepet skjer gjennom en trojanisert versjon av Devolutions Remote Desktop Manager, som ofre sannsynligvis ble oppfordret til å laste ned etter å ha blitt dirigert til et klonet nettsted gjennom phishing-taktikker.
Trusselgruppen brukte en form for Typosquatting å skape en slående likhet med det autentiske nettstedet, ifølge rapport fra BlackBerry Threat Research og etterretningsteam.
Ved å lage falske nettsteder som ligner på de legitime programvarenettstedene, kan RomCom distribuere ondsinnede nyttelaster til intetanende ofre som laster ned og installerer den kompromitterte programvaren, og tror den er legitim.
Det trojaniserte installasjonsprogrammet begynner å installere skadelig programvare etter at brukeren blir bedt om å velge destinasjonsbanen der de vil at filene skal installeres. Deretter begynner den systematisk å samle viktige verts- og brukermetadata fra det infiserte systemet, som deretter overføres til kommando-og-kontroll-serveren (C2).
Et nettangrep med geopolitiske motiver
Kampanjen antyder sterkt at motivasjonen til denne trusselaktøren ikke er penger, men snarere en geopolitisk agenda som styrer angrepsstrategien og målrettingsmetoder.
Recon på hva programvaremål bruker for å levere falske oppdateringsvarsler var en del av prosessen, ifølge Dmitry Bestuzhev, seniordirektør, CTI, BlackBerry. "Med andre ord, trusselaktøren bak RomCom RAT er avhengig av tidligere informasjon om hvert offer, for eksempel hvilken programvare de bruker, hvordan de bruker den, og de sosiale eller politiske programmene de jobber med."
Sluttspillet er eksfiltrering av sensitiv informasjon. "Vi så RomCom sikte mot militære hemmeligheter, som enhetsplasseringer, defensive og offensive planer, våpen, [og] militære treningsprogrammer," bemerker Bestuzhev.
Han sier at med det USA-baserte helsevesenet som ga hjelp til flyktningene fra Ukraina, inkluderte den målrettede informasjonen hvordan dette programmet fungerer for å finne ut hvem flyktningene er - som inkluderer flyktningenes personlige opplysninger, som kan brukes til ytterligere angrep.
En RomCom du ikke har sett før
Tidligere RomCom-kampanjer mot det ukrainske militæret brukte falsk Advanced IP Scanner-programvare for å levere skadelig programvare, og gruppen har også målrettet engelsktalende land – spesielt Storbritannia – med trojaniserte versjoner av populære programvareprodukter, inkludert SolarWinds Network Performance Monitor, KeePass Open-Source Password Manager, og PDF Reader Pro.
Callie Guenther, seniorsjef for cybertrusselforskning ved Critical Start, forklarer at i de siste kampanjene, sammen med bruk av annen programvare, har RomCom også tilpasset sin C2-infrastruktur for å gli inn i legitim nettverkstrafikk.
"Dette kan innebære bruk av kommunikasjonsprotokoller som vanligvis er knyttet til politiske kampanjer eller helseorganisasjoner, noe som gjør det mer utfordrende å oppdage deres ondsinnede aktiviteter," sier hun.
Hun legger til at sosiale medier var en viktig del av de siste kampanjene. "RomCom kan bruke phishing-e-poster, spear-phishing eller andre sosiale ingeniørteknikker skreddersydd for de målrettede individene eller organisasjonene," forklarer hun.
For politikere kan de lage e-postmeldinger som utgir seg for å være politiske kolleger eller tjenestemenn, og når det gjelder helseselskapet, kan de sende e-poster som utgir seg for å være tilsynsmyndigheter for helsetjenester eller leverandører av medisinsk utstyr eller programvare.
Guenther sier at RomComs aktive utvikling av nye evner og teknikker indikerer et bemerkelsesverdig nivå av raffinement og tilpasningsevne.
"Dette antyder at deres målvalg kan utvikle seg etter hvert som de avgrenser taktikken og søker nye muligheter for kompromisser," sier hun.
Hvordan forsvare seg mot RomCom APT
Mike Parkin, senior teknisk ingeniør hos Vulcan Cyber, sier at standard forsvarstaktikk gjelder her som de gjør med enhver angriper, uavhengig av om de er nettkriminelle eller statlig sponset.
"Hold oppdateringer oppdatert. Implementer følgende bransjebestemte fremgangsmåter og leverandørens 'sikker installasjon' anbefalinger,» sier han. "Sørg for at brukerne er opplært og dyrke en sikker kultur som gjør dem til en del av løsningen i stedet for den mest sårbare delen av angrepsoverflaten."
Bestuzhev sier trusselaktøren bak RomCom er avhengig av sosial ingeniørkunst og tillit. Så, opplæring av ansatte i hvordan man oppdager spyd-phishing er også viktig.
"For det andre er det viktig å stole på et godt etterretningsprogram for cybertrusler som gir kontekstuell, forutseende og handlingsdyktig trusselintelligens, for eksempel atferdsregler for å oppdage RomComs operasjoner i systemene, nettverkstrafikk og filer," sier han. "Med denne konteksten om RomCom er det rom for å bygge en effektiv trusselmodellering basert på taktikk, teknikker og prosedyrer (TTP), og geopolitisk utvikling."
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- EVM Finans. Unified Interface for desentralisert økonomi. Tilgang her.
- Quantum Media Group. IR/PR forsterket. Tilgang her.
- PlatoAiStream. Web3 Data Intelligence. Kunnskap forsterket. Tilgang her.
- kilde: https://www.darkreading.com/threat-intelligence/romcom-threat-actor-targets-ukrainian-politicians-us-healthcare
- : har
- :er
- :ikke
- :hvor
- $OPP
- 7
- a
- Om oss
- Ifølge
- aktiv
- Aktiviteter
- Legger
- avansert
- Etter
- mot
- agenda
- Aid
- langs
- også
- an
- og
- noen
- Påfør
- ER
- armer
- AS
- assosiert
- At
- angripe
- Angrep
- Autentisk
- Myndigheter
- basert
- BE
- bak
- være
- BEST
- beste praksis
- Blend
- Bygning
- men
- Kampanje
- Kampanjer
- CAN
- evner
- saken
- utfordrende
- tett
- kollegaer
- Samle
- vanligvis
- Kommunikasjon
- Selskapet
- kompromiss
- kompromittert
- kontekst
- kontekstuelle
- kunne
- land
- land
- lage
- skape
- Opprette
- kritisk
- Dyrke
- Kultur
- cyber
- Cyber angrep
- CYBERKRIMINELL
- Dato
- Forsvar
- defensiv
- leverer
- utplassere
- distribusjon
- desktop
- destinasjonen
- Bestem
- Utvikling
- utviklingen
- forskjellig
- Regissør
- distribuere
- do
- nedlasting
- hver enkelt
- Effektiv
- emalje
- e-post
- Ansatt
- oppfordret
- ingeniør
- Ingeniørarbeid
- utstyr
- spesielt
- avgjørende
- utvikle seg
- eksfiltrering
- forklarer
- forfalskning
- Filer
- etter
- Til
- skjema
- fra
- videre
- geopolitiske
- god
- Gruppe
- he
- helsetjenester
- her.
- vert
- Hvordan
- Hvordan
- HTTPS
- viktig
- in
- I andre
- inkludert
- inkluderer
- Inkludert
- indikerer
- individer
- industri
- informasjon
- Infrastruktur
- installere
- installasjon
- installerte
- installere
- Intelligens
- involvere
- involvert
- IP
- IT
- DET ER
- jpg
- Hold
- kjent
- legitim
- Nivå
- i likhet med
- Sannsynlig
- steder
- gjøre
- GJØR AT
- Making
- malware
- leder
- Kan..
- Media
- medisinsk
- medisinsk utstyr
- meldinger
- metadata
- metoder
- kunne
- Militær
- modellering
- penger
- Overvåke
- mer
- mest
- Motivasjon
- nettverk
- nettverkstrafikk
- Ny
- bemerkelsesverdig
- Merknader
- varslinger
- of
- støtende
- tjenestemenn
- on
- åpen kildekode
- Muligheter
- or
- rekkefølge
- organisasjon
- organisasjoner
- Annen
- del
- Passord
- Password Manager
- Patches
- banen
- ytelse
- personlig
- phishing
- planer
- plato
- Platon Data Intelligence
- PlatonData
- politisk
- Politikere
- Populær
- praksis
- forrige
- pro
- prosedyrer
- prosess
- Produkter
- program
- programmer
- protokoller
- gi
- ROTTE
- heller
- RE
- Reader
- nylig
- anbefalinger
- avgrense
- flyktninger
- Uansett
- regulatorer
- avhengige
- fjernkontroll
- forskning
- rom
- regler
- s
- så
- sier
- scene
- sikre
- Søke
- sett
- utvalg
- send
- senior
- sensitive
- hun
- nettstedet
- Nettsteder
- So
- selskap
- Sosialteknikk
- sosiale medier
- Software
- Solarwinds
- løsning
- Spyd phishing
- Sponset
- Spot
- Standard
- Begynn
- Tilstand
- Stater
- Strategi
- sterk
- I ettertid
- slik
- foreslår
- overflaten
- system
- Systemer
- taktikk
- skreddersydd
- Target
- målrettet
- rettet mot
- mål
- lag
- Teknisk
- teknikker
- enn
- Det
- De
- Storbritannia
- deres
- Dem
- deretter
- Der.
- de
- tenker
- denne
- trussel
- Gjennom
- til
- trafikk
- trent
- Kurs
- Stol
- Uk
- Ukraina
- ukrainsk
- enhet
- forent
- Forente Stater
- Oppdater
- us
- bruke
- brukt
- Bruker
- Brukere
- ved hjelp av
- leverandør
- leverandører
- versjon
- Offer
- ofre
- vulcan
- Sårbar
- var
- we
- Nettsted
- nettsteder
- var
- Hva
- om
- hvilken
- HVEM
- med
- ord
- arbeid
- virker
- Du
- zephyrnet