Ugrupowanie zagrażające znane jako RomCom powrócił na scenę, obierając za cel ukraińskich polityków i organizację opieki zdrowotnej w Stanach Zjednoczonych zaangażowaną w pomoc uchodźcom uciekającym z rozdartego wojną kraju.
Przeprowadzenie tego ataku odbywa się za pośrednictwem trojanizowanej wersji Devolutions Remote Desktop Manager, do pobrania której ofiary prawdopodobnie były zachęcane po przekierowaniu na sklonowaną witrynę internetową w ramach taktyki phishingowej.
Grupa zagrożeń używała formy typosquatting aby stworzyć uderzające podobieństwo do autentycznego miejsca, zgodnie z raport z badania zagrożeń BlackBerry i zespół wywiadowczy.
Tworząc fałszywe witryny internetowe, które bardzo przypominają witryny z legalnym oprogramowaniem, RomCom może dystrybuować szkodliwe ładunki wśród niczego niepodejrzewających ofiar, które pobierają i instalują zainfekowane oprogramowanie, myśląc, że jest legalne.
Trojanizowany instalator rozpoczyna instalowanie złośliwego oprogramowania po tym, jak użytkownik zostanie poproszony o wybranie ścieżki docelowej, w której chciałby zainstalować pliki. Następnie rozpoczyna systematyczne zbieranie niezbędnych metadanych hosta i użytkownika z zainfekowanego systemu, które są następnie przesyłane do jego serwera dowodzenia i kontroli (C2).
Cyberatak o motywacjach geopolitycznych
Kampania zdecydowanie sugeruje, że motywacją tego ugrupowania zagrażającego nie są pieniądze, ale raczej program geopolityczny, który wyznacza strategię ataku i metody namierzania.
Według Dmitrija Bestuzheva, starszego dyrektora CTI w BlackBerry, częścią procesu było sprawdzenie, jakiego oprogramowania używają cele w celu dostarczania fałszywych powiadomień o aktualizacjach. „Innymi słowy, podmiot zagrażający stojący za RomCom RAT opiera się na wcześniejszych informacjach o każdej ofierze, takich jak używane przez nią oprogramowanie i sposób jego używania oraz programy społeczne lub polityczne, nad którymi pracuje”.
Końcem jest eksfiltracja poufnych informacji. „Widzieliśmy, że RomCom atakował tajemnice wojskowe, takie jak lokalizacje jednostek, plany obronne i ofensywne, broń [oraz] programy szkolenia wojskowego” – zauważa Bestużew.
Mówi, że w przypadku amerykańskiej służby zdrowia udzielającej pomocy uchodźcom z Ukrainy ukierunkowane informacje obejmowały sposób działania tego programu w celu ustalenia, kim są uchodźcy, w tym dane osobowe uchodźców, które można wykorzystać do dalszych ataków.
Komik romantyczny, jakiego jeszcze nie widziałeś
Poprzednie Kampanie RoCom przeciwko ukraińskiemu wojsku użyło fałszywego oprogramowania Advanced IP Scanner do dostarczania złośliwego oprogramowania, a grupa obrała za cel także kraje anglojęzyczne – zwłaszcza Wielką Brytanię – za pomocą trojanizowanych wersji popularnych programów, w tym SolarWinds Network Performance Monitor, KeePass Open-Source Password Manager, i czytnik PDF Pro.
Callie Guenther, starsza menedżerka ds. badań nad zagrożeniami cybernetycznymi w Critical Start, wyjaśnia, że w ostatnich kampaniach RomCom, oprócz korzystania z innego oprogramowania, dostosował także swoją infrastrukturę C2, aby wtapiała się w legalny ruch sieciowy.
„Może to obejmować korzystanie z protokołów komunikacyjnych powszechnie kojarzonych z kampaniami politycznymi lub organizacjami zajmującymi się opieką zdrowotną, co utrudnia wykrycie ich złośliwych działań” – mówi.
Dodaje, że ważną częścią ostatnich kampanii były media społecznościowe. „RomCom może wykorzystywać wiadomości e-mail phishingowe, spear-phishing lub inne techniki inżynierii społecznej dostosowane do docelowych osób lub organizacji” – wyjaśnia.
W przypadku polityków mogą tworzyć wiadomości e-mail podszywające się pod kolegów lub urzędników politycznych, a w przypadku firmy z branży opieki zdrowotnej mogą wysyłać wiadomości e-mail podszywające się pod organy regulacyjne opieki zdrowotnej lub sprzedawców sprzętu medycznego lub oprogramowania.
Guenther twierdzi, że aktywny rozwój nowych możliwości i technik RomCom wskazuje na znaczny poziom wyrafinowania i możliwości adaptacji.
„To sugeruje, że wybór celów może ewoluować w miarę udoskonalania taktyki i poszukiwania nowych możliwości kompromisu” – mówi.
Jak bronić się przed RomCom APT
Mike Parkin, starszy inżynier techniczny w Vulcan Cyber, twierdzi, że mają tu zastosowanie standardowe taktyki obronne, takie same jak w przypadku każdego atakującego, niezależnie od tego, czy jest on cyberprzestępcą, czy sponsorowany przez państwo.
„Utrzymuj aktualizacje na bieżąco. Wdrażaj rozwiązania zgodnie z najlepszymi praktykami branżowymi i zaleceniami dostawców dotyczącymi bezpiecznej instalacji” – mówi. „Upewnij się, że użytkownicy są przeszkoleni i pielęgnuj kulturę bezpieczeństwa, która uczyni ich częścią rozwiązania, a nie najbardziej bezbronną częścią powierzchni ataku”.
Bestuzhev twierdzi, że ugrupowanie zagrażające stojące za RoCom opiera się na inżynierii społecznej i zaufaniu. Dlatego ważne jest również szkolenie pracowników w zakresie wykrywania spear phishingu.
„Po drugie, ważne jest, aby polegać na dobrym programie analizy zagrożeń cybernetycznych, zapewniającym kontekstowe, przewidywalne i przydatne informacje o zagrożeniach, takie jak zasady zachowania umożliwiające wykrycie operacji RomCom w systemach, ruchu sieciowym i plikach” – mówi. „W kontekście RomComu istnieje miejsce na zbudowanie skutecznego modelowania zagrożeń w oparciu o taktykę, techniki i procedury (TTP) oraz rozwój sytuacji geopolitycznej”.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- EVM Finanse. Ujednolicony interfejs dla zdecentralizowanych finansów. Dostęp tutaj.
- Quantum Media Group. Wzmocnienie IR/PR. Dostęp tutaj.
- PlatoAiStream. Analiza danych Web3. Wiedza wzmocniona. Dostęp tutaj.
- Źródło: https://www.darkreading.com/threat-intelligence/romcom-threat-actor-targets-ukrainian-politicians-us-healthcare
- :ma
- :Jest
- :nie
- :Gdzie
- $W GÓRĘ
- 7
- a
- O nas
- Stosownie
- aktywny
- zajęcia
- Dodaje
- zaawansowany
- Po
- przed
- agenda
- AID
- wzdłuż
- również
- an
- i
- każdy
- Aplikuj
- SĄ
- Ramiona
- AS
- powiązany
- At
- atakować
- Ataki
- Autentyczny
- Władze
- na podstawie
- BE
- za
- jest
- BEST
- Najlepsze praktyki
- Mieszanka
- Budowanie
- ale
- Kampania
- Kampanie
- CAN
- możliwości
- walizka
- wyzwanie
- dokładnie
- koledzy
- Zbieranie
- powszechnie
- Komunikacja
- sukcesy firma
- kompromis
- Zagrożone
- kontekst
- kontekstowy
- mógłby
- kraje
- kraj
- rzemiosło
- Stwórz
- Tworzenie
- krytyczny
- Hodować
- kultura
- cyber
- Cyber atak
- CYBERPRZESTĘPCA
- Data
- Obrona
- obronny
- dostarczyć
- rozwijać
- Wdrożenie
- stacjonarny
- miejsce przeznaczenia
- Ustalać
- oprogramowania
- wydarzenia
- różne
- Dyrektor
- rozprowadzać
- do
- pobieranie
- każdy
- Efektywne
- e-maile
- Pracownik
- zachęcać
- inżynier
- Inżynieria
- sprzęt
- szczególnie
- niezbędny
- ewoluuje
- eksfiltracja
- Objaśnia
- imitacja
- Akta
- następujący
- W razie zamówieenia projektu
- Nasz formularz
- od
- dalej
- geopolityczna
- dobry
- Zarządzanie
- he
- opieki zdrowotnej
- tutaj
- gospodarz
- W jaki sposób
- How To
- HTTPS
- ważny
- in
- W innych
- włączony
- obejmuje
- Włącznie z
- wskazuje
- osób
- przemysł
- Informacja
- Infrastruktura
- zainstalować
- instalacja
- zainstalowany
- Instalacja
- Inteligencja
- angażować
- zaangażowany
- IP
- IT
- JEGO
- jpg
- Trzymać
- znany
- prawowity
- poziom
- lubić
- Prawdopodobnie
- lokalizacji
- robić
- WYKONUJE
- Dokonywanie
- malware
- kierownik
- Może..
- Media
- medyczny
- wyposażenie medyczne
- wiadomości
- Metadane
- metody
- może
- Wojsko
- modelowanie
- pieniądze
- monitor
- jeszcze
- większość
- Motywacja
- sieć
- ruch sieciowy
- Nowości
- dostojnik
- Uwagi
- Powiadomienia
- of
- obraźliwy
- urzędnicy
- on
- open source
- Szanse
- or
- zamówienie
- organizacja
- organizacji
- Inne
- część
- Hasło
- Password Manager
- Łatki
- ścieżka
- jest gwarancją najlepszej jakości, które mogą dostarczyć Ci Twoje monitory,
- osobisty
- phishing
- plany
- plato
- Analiza danych Platona
- PlatoDane
- polityczny
- Politycy
- Popularny
- praktyki
- poprzedni
- Pro
- procedury
- wygląda tak
- Produkty
- Program
- Programy
- protokoły
- że
- SZCZUR
- raczej
- RE
- Czytelnik
- niedawny
- zalecenia
- oczyścić
- uchodźców
- Bez względu
- regulacyjne
- polegać
- zdalny
- Badania naukowe
- Pokój
- reguły
- s
- zobaczył
- mówią
- scena
- bezpieczne
- Szukajcie
- widziany
- wybór
- wysłać
- senior
- wrażliwy
- ona
- witryna internetowa
- Witryny
- So
- Obserwuj Nas
- Inżynieria społeczna
- Media społecznościowe
- Tworzenie
- SolarWinds
- rozwiązanie
- Spear Phishing
- Łącza
- Spot
- standard
- początek
- Stan
- Zjednoczone
- Strategia
- strongly
- Następnie
- taki
- Wskazuje
- Powierzchnia
- system
- systemy
- taktyka
- dostosowane
- cel
- ukierunkowane
- kierowania
- cele
- zespół
- Techniczny
- Techniki
- niż
- że
- Połączenia
- UK
- ich
- Im
- następnie
- Tam.
- one
- Myślący
- to
- groźba
- Przez
- do
- ruch drogowy
- przeszkolony
- Trening
- Zaufaj
- Uk
- Ukraina
- ukraiński
- jednostka
- Zjednoczony
- United States
- Aktualizacja
- us
- posługiwać się
- używany
- Użytkownik
- Użytkownicy
- za pomocą
- sprzedawca
- sprzedawców
- wersja
- Ofiara
- Ofiary
- Wulkan
- Wrażliwy
- była
- we
- Strona internetowa
- strony internetowe
- były
- Co
- czy
- który
- KIM
- w
- słowa
- pracujący
- działa
- You
- zefirnet