O ator de ameaça conhecido como RomCom voltou ao local, tendo como alvo políticos ucranianos e uma organização de saúde nos Estados Unidos envolvida na ajuda a refugiados que fogem do país devastado pela guerra.
A implantação desse ataque ocorre por meio de uma versão trojanizada do Devolutions Remote Desktop Manager, que as vítimas provavelmente foram incentivadas a baixar após serem direcionadas para um site clonado por meio de táticas de phishing.
O grupo de ameaça usou uma forma de typosquatting criar uma notável semelhança com o local autêntico, de acordo com o relatório da BlackBerry Threat Research e equipe de Inteligência.
Ao criar sites falsos que se assemelham muito aos sites de software legítimo, a RomCom pode distribuir cargas maliciosas para vítimas inocentes que baixam e instalam o software comprometido, pensando que é legítimo.
O instalador trojanizado começa a instalar o malware depois que o usuário é solicitado a selecionar o caminho de destino onde deseja que os arquivos sejam instalados. Em seguida, ele começa a coletar sistematicamente metadados essenciais de host e usuário do sistema infectado, que são posteriormente transmitidos ao seu servidor de comando e controle (C2).
Um ataque cibernético com motivações geopolíticas
A campanha sugere fortemente que a motivação deste ator ameaçador não é o dinheiro, mas sim uma agenda geopolítica que orienta a sua estratégia de ataque e métodos de seleção de alvos.
O reconhecimento sobre qual software os alvos usam para entregar notificações falsas de atualização fazia parte do processo, de acordo com Dmitry Bestuzhev, diretor sênior de CTI da BlackBerry. “Em outras palavras, o agente da ameaça por trás do RomCom RAT depende de informações anteriores sobre cada vítima, como qual software eles usam, como o usam e os programas sociais ou políticos nos quais estão trabalhando.”
O fim do jogo é a exfiltração de informações confidenciais. “Vimos o RomCom visando segredos militares, como localização de unidades, planos defensivos e ofensivos, armas e programas de treinamento militar”, observa Bestuzhev.
Ele diz que com os cuidados de saúde baseados nos EUA que prestam ajuda aos refugiados da Ucrânia, as informações específicas incluíam como esse programa funciona para determinar quem são os refugiados – isso inclui as informações pessoais dos refugiados, que podem ser usadas para novos ataques.
Um RomCom que você nunca viu antes
Anterior Campanhas RomCom contra os militares da Ucrânia usaram software falso Advanced IP Scanner para entregar malware, e o grupo também tem como alvo países de língua inglesa – especialmente o Reino Unido – com versões trojanizadas de produtos de software populares, incluindo SolarWinds Network Performance Monitor, KeePass Open-Source Password Manager, e leitor de PDF Pro.
Callie Guenther, gerente sênior de pesquisa de ameaças cibernéticas da Critical Start, explica que nas campanhas mais recentes, além de usar software diferente, a RomCom também adaptou sua infraestrutura C2 para se misturar ao tráfego de rede legítimo.
“Isso poderia envolver o uso de protocolos de comunicação comumente associados a campanhas políticas ou organizações de saúde, tornando mais difícil detectar suas atividades maliciosas”, diz ela.
Ela acrescenta que as mídias sociais foram uma parte importante das campanhas recentes. “A RomCom pode empregar e-mails de phishing, spear-phishing ou outras técnicas de engenharia social adaptadas aos indivíduos ou organizações visadas”, explica ela.
Para os políticos, eles poderiam criar mensagens de e-mail fazendo-se passar por colegas ou autoridades políticas e, no caso da empresa de saúde, poderiam enviar e-mails se passando por autoridades reguladoras de saúde ou fornecedores de equipamentos ou softwares médicos.
Guenther diz que o desenvolvimento ativo de novas capacidades e técnicas da RomCom indica um nível notável de sofisticação e adaptabilidade.
“Isto sugere que a sua selecção de alvos pode evoluir à medida que refinam as suas tácticas e procuram novas oportunidades de compromisso”, diz ela.
Como se defender contra o RomCom APT
Mike Parkin, engenheiro técnico sênior da Vulcan Cyber, diz que as táticas de defesa padrão se aplicam aqui como se aplicam a qualquer invasor, independentemente de ser um cibercriminoso ou patrocinado pelo Estado.
“Mantenha os patches atualizados. Implante seguindo as práticas recomendadas do setor e as recomendações de “instalação segura” do fornecedor”, diz ele. “Certifique-se de que os usuários sejam treinados e cultivem uma cultura segura que os torne parte da solução, e não a parte mais vulnerável da superfície de ataque.”
Bestuzhev diz que o ator ameaçador por trás do RomCom depende da engenharia social e da confiança. Portanto, o treinamento dos funcionários sobre como detectar spear phishing também é importante.
“Em segundo lugar, é importante contar com um bom programa de inteligência contra ameaças cibernéticas que forneça inteligência contextual, antecipativa e acionável sobre ameaças, como regras de comportamento para detectar operações da RomCom nos sistemas, tráfego de rede e arquivos”, diz ele. “Com este contexto sobre o RomCom, há espaço para construir uma modelagem de ameaças eficaz baseada em táticas, técnicas e procedimentos (TTP) e desenvolvimentos geopolíticos.”
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- EVM Finanças. Interface unificada para finanças descentralizadas. Acesse aqui.
- Grupo de Mídia Quântica. IR/PR Amplificado. Acesse aqui.
- PlatoAiStream. Inteligência de Dados Web3. Conhecimento Amplificado. Acesse aqui.
- Fonte: https://www.darkreading.com/threat-intelligence/romcom-threat-actor-targets-ukrainian-politicians-us-healthcare
- :tem
- :é
- :não
- :onde
- $UP
- 7
- a
- Sobre
- Segundo
- ativo
- atividades
- Adiciona
- avançado
- Depois de
- contra
- agenda
- Ajuda
- juntamente
- tb
- an
- e
- qualquer
- Aplicar
- SOMOS
- braços
- AS
- associado
- At
- ataque
- Ataques
- Autêntico
- Autoridades
- baseado
- BE
- atrás
- ser
- MELHOR
- melhores práticas
- Blend
- Prédio
- mas a
- Campanha
- Campanhas
- CAN
- capacidades
- casas
- desafiante
- de perto
- colegas
- Coleta
- geralmente
- Comunicação
- Empresa
- compromisso
- Comprometido
- contexto
- contextual
- poderia
- países
- país
- artesanato
- crio
- Criar
- crítico
- Cultivar
- Cultura
- cibernético
- Ataque cibernético
- CIBERCRIMINAL
- Data
- Defesa
- defensiva
- entregar
- implantar
- desenvolvimento
- área de trabalho
- destino
- Determinar
- Desenvolvimento
- desenvolvimentos
- diferente
- Diretor
- distribuir
- do
- download
- cada
- Eficaz
- e-mails
- Empregado
- encorajados
- engenheiro
- Engenharia
- equipamento
- especialmente
- essencial
- evolui
- exfiltração
- Explica
- falsificação
- Arquivos
- seguinte
- Escolha
- formulário
- da
- mais distante
- geopolítica
- Bom estado, com sinais de uso
- Grupo
- he
- saúde
- SUA PARTICIPAÇÃO FAZ A DIFERENÇA
- hospedeiro
- Como funciona o dobrador de carta de canal
- Como Negociar
- HTTPS
- importante
- in
- Em outra
- incluído
- inclui
- Incluindo
- indicam
- indivíduos
- indústria
- INFORMAÇÕES
- Infraestrutura
- instalar
- instalação
- instalado
- instalando
- Inteligência
- envolver
- envolvido
- IP
- IT
- ESTÁ
- jpg
- Guarda
- conhecido
- legítimo
- Nível
- como
- Provável
- locais
- fazer
- FAZ
- Fazendo
- malwares
- Gerente
- Posso..
- Mídia
- médico
- equipamento médico
- mensagens
- metadados
- métodos
- poder
- Militar
- modelagem
- dinheiro
- Monitore
- mais
- a maioria
- Motivação
- rede
- tráfego de rede
- Novo
- notável
- Notas
- notificações
- of
- ofensivo
- funcionários
- on
- open source
- oportunidades
- or
- ordem
- organização
- organizações
- Outros
- parte
- Senha
- gerenciador de senhas
- Patches
- caminho
- atuação
- pessoal
- Phishing
- planos
- platão
- Inteligência de Dados Platão
- PlatãoData
- político
- Políticos
- Popular
- práticas
- anterior
- Pro
- procedimentos
- processo
- Produtos
- Agenda
- Programas
- protocolos
- fornecendo
- RAT
- em vez
- RE
- Leitor
- recentemente
- recomendações
- refinar
- refugiados
- Independentemente
- reguladores
- depender
- remoto
- pesquisa
- Quarto
- regras
- s
- serra
- diz
- cena
- seguro
- Buscar
- visto
- doadores,
- enviar
- senior
- sensível
- ela
- local
- Locais
- So
- Redes Sociais
- Engenharia social
- meios de comunicação social
- Software
- SolarWinds
- solução
- Spear Phishing
- Patrocinado
- Spot
- padrão
- começo
- Estado
- Unidos
- Estratégia
- discordaram
- Subseqüentemente
- tal
- Sugere
- superfície
- .
- sistemas
- tática
- adaptados
- Target
- visadas
- alvejando
- tem como alvo
- Profissionais
- Dados Técnicos:
- técnicas
- do que
- que
- A
- do Reino Unido
- deles
- Eles
- então
- Lá.
- deles
- Pensando
- isto
- ameaça
- Através da
- para
- tráfego
- treinado
- Training
- Confiança
- Uk
- Ucrânia
- Ucraniano
- unidade
- Unido
- Estados Unidos
- Atualizar
- us
- usar
- usava
- Utilizador
- usuários
- utilização
- fornecedor
- fornecedores
- versão
- Vítima
- vítimas
- vulcan
- Vulnerável
- foi
- we
- Site
- sites
- foram
- O Quê
- se
- qual
- QUEM
- de
- palavras
- trabalhar
- trabalho
- Vocês
- zefirnet