Hotaktören känd som RomCom har återvänt till scenen, riktad mot ukrainska politiker och en sjukvårdsorganisation i USA som är involverad i att hjälpa flyktingar som flyr det krigshärjade landet.
Utplaceringen av denna attack sker genom en trojaniserad version av Devolutions Remote Desktop Manager, som offren troligen uppmuntrades att ladda ner efter att ha dirigerats till en klonad webbplats genom nätfisketaktik.
Hotgruppen använde en form av typskattning att skapa en slående likhet med den autentiska platsen, enligt rapport från BlackBerry Threat Research och underrättelseteam.
Genom att skapa falska webbplatser som nära liknar de legitima programvaruwebbplatserna kan RomCom distribuera skadliga nyttolaster till intet ont anande offer som laddar ner och installerar den komprometterade programvaran, och tror att den är legitim.
Det trojaniserade installationsprogrammet börjar installera skadlig programvara efter att användaren uppmanas att välja destinationssökvägen där de vill att filerna ska installeras. Den börjar sedan systematiskt samla in viktig värd- och användarmetadata från det infekterade systemet, som sedan överförs till dess kommando-och-kontroll-server (C2).
En cyberattack med geopolitiska motiv
Kampanjen antyder starkt att motivationen för denna hotaktör inte är pengar, utan snarare en geopolitisk agenda som styr dess attackstrategi och inriktningsmetoder.
Recon om vilka programvarumål som används för att leverera falska uppdateringsmeddelanden var en del av processen, enligt Dmitry Bestuzhev, senior director, CTI, BlackBerry. "Med andra ord, hotaktören bakom RomCom RAT förlitar sig på tidigare information om varje offer, som vilken programvara de använder, hur de använder den och de sociala eller politiska program de arbetar med."
Slutspelet är exfiltrering av känslig information. "Vi såg RomCom inrikta sig på militära hemligheter, såsom enheters platser, defensiva och offensiva planer, vapen [och] militära träningsprogram", noterar Bestuzhev.
Han säger att med den USA-baserade sjukvården som ger hjälp till flyktingarna från Ukraina, inkluderade den riktade informationen hur det programmet fungerar för att avgöra vilka flyktingarna är - som inkluderar flyktingarnas personliga information, som kan användas för ytterligare attacker.
En RomCom du inte sett förut
föregående RomCom-kampanjer mot den ukrainska militären använde falska Advanced IP Scanner-mjukvara för att leverera skadlig programvara, och gruppen har också riktat in sig på engelsktalande länder – särskilt Storbritannien – med trojaniserade versioner av populära mjukvaruprodukter, inklusive SolarWinds Network Performance Monitor, KeePass Open-Source Password Manager, och PDF Reader Pro.
Callie Guenther, senior manager för cyberhotsforskning på Critical Start, förklarar att i de senaste kampanjerna, tillsammans med att använda olika programvaror, har RomCom också anpassat sin C2-infrastruktur för att smälta in med legitim nätverkstrafik.
"Detta kan handla om att använda kommunikationsprotokoll som vanligtvis förknippas med politiska kampanjer eller hälsoorganisationer, vilket gör det svårare att upptäcka deras skadliga aktiviteter", säger hon.
Hon tillägger att sociala medier var en viktig del av de senaste kampanjerna. "RomCom kan använda nätfiske-e-post, spear-phishing eller andra sociala ingenjörstekniker skräddarsydda för de riktade individerna eller organisationerna", förklarar hon.
För politiker kan de skapa e-postmeddelanden som utger sig för att vara politiska kollegor eller tjänstemän, och när det gäller vårdföretaget kan de skicka e-postmeddelanden som utger sig för att vara tillsynsmyndigheter för sjukvården eller leverantörer av medicinsk utrustning eller programvara.
Guenther säger att RomComs aktiva utveckling av nya möjligheter och tekniker indikerar en anmärkningsvärd nivå av sofistikering och anpassningsförmåga.
"Detta tyder på att deras målval kan utvecklas när de förfinar sin taktik och söker nya möjligheter till kompromisser", säger hon.
Hur man försvarar sig mot RomCom APT
Mike Parkin, senior teknisk ingenjör på Vulcan Cyber, säger att standardförsvarstaktiken gäller här som de gör med alla angripare, oavsett om de är cyberkriminella eller statligt sponsrade.
"Håll patchar uppdaterade. Implementera följande branschpraxis och leverantörens rekommendationer för "säker installation", säger han. "Se till att användarna är utbildade och odla en säker kultur som gör dem till en del av lösningen snarare än den mest sårbara delen av attackytan."
Bestuzhev säger att hotaktören bakom RomCom förlitar sig på social ingenjörskonst och förtroende. Så, utbildning av anställda om hur man upptäcker spjutfiske är också viktig.
"För det andra är det viktigt att lita på ett bra underrättelseprogram för cyberhot som tillhandahåller kontextuell, förutseende och handlingsbar hotintelligens, såsom beteenderegler för att upptäcka RomComs operationer i systemen, nätverkstrafik och filer", säger han. "Med det här sammanhanget om RomCom finns det utrymme för att bygga en effektiv hotmodell baserad på taktik, teknik och procedurer (TTP), och geopolitisk utveckling."
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- EVM Finans. Unified Interface for Decentralized Finance. Tillgång här.
- Quantum Media Group. IR/PR förstärkt. Tillgång här.
- PlatoAiStream. Web3 Data Intelligence. Kunskap förstärkt. Tillgång här.
- Källa: https://www.darkreading.com/threat-intelligence/romcom-threat-actor-targets-ukrainian-politicians-us-healthcare
- : har
- :är
- :inte
- :var
- $UPP
- 7
- a
- Om oss
- Enligt
- aktiv
- aktiviteter
- Lägger
- avancerat
- Efter
- mot
- dagordning
- Stöd
- längs
- också
- an
- och
- vilken som helst
- Ansök
- ÄR
- armar
- AS
- associerad
- At
- attackera
- Attacker
- Äkta
- Myndigheter
- baserat
- BE
- bakom
- Där vi får lov att vara utan att konstant prestera,
- BÄST
- bästa praxis
- Blandning
- Byggnad
- men
- Kampanj
- Kampanjer
- KAN
- kapacitet
- Vid
- utmanande
- nära
- kollegor
- Samla
- vanligen
- Kommunikation
- företag
- kompromiss
- Äventyras
- sammanhang
- kontextuella
- kunde
- länder
- land
- farkoster
- skapa
- Skapa
- kritisk
- Odla
- kultur
- cyber
- Cyber attack
- IT-KRIMINELL
- Datum
- Försvar
- defensiv
- leverera
- distribuera
- utplacering
- desktop
- destination
- Bestämma
- Utveckling
- utvecklingen
- olika
- Direktör
- distribuera
- do
- ladda ner
- varje
- Effektiv
- e
- Anställd
- uppmuntras
- ingenjör
- Teknik
- Utrustning
- speciellt
- väsentlig
- utvecklas
- exfiltrering
- Förklarar
- fejka
- Filer
- efter
- För
- formen
- från
- ytterligare
- geopolitiska
- god
- Grupp
- he
- hälso-och sjukvård
- här.
- värd
- Hur ser din drömresa ut
- How To
- HTTPS
- med Esport
- in
- I andra
- ingår
- innefattar
- Inklusive
- pekar på
- individer
- industrin
- informationen
- Infrastruktur
- installera
- Installationen
- installerad
- installera
- Intelligens
- engagera
- involverade
- IP
- IT
- DESS
- jpg
- Ha kvar
- känd
- legitim
- Nivå
- tycka om
- sannolikt
- platser
- göra
- GÖR
- Framställning
- malware
- chef
- Maj..
- Media
- medicinsk
- medicinsk utrustning
- meddelanden
- metadata
- metoder
- kanske
- Militär
- modellering
- pengar
- Övervaka
- mer
- mest
- Motivation
- nät
- nätverkstrafik
- Nya
- anmärkningsvärd
- Anmärkningar
- anmälningar
- of
- offensiv
- tjänstemän
- on
- öppen källkod
- möjligheter
- or
- beställa
- organisation
- organisationer
- Övriga
- del
- Lösenord
- Password Manager
- Plåster
- bana
- prestanda
- personlig
- Nätfiske
- planer
- plato
- Platon Data Intelligence
- PlatonData
- politiska
- Politiker
- Populära
- praxis
- föregående
- Pro
- förfaranden
- process
- Produkter
- Program
- Program
- protokoll
- tillhandahålla
- RÅTTA
- snarare
- RE
- Läsare
- senaste
- rekommendationer
- förfina
- flyktingar
- Oavsett
- regulatorer
- förlita
- avlägsen
- forskning
- Rum
- regler
- s
- såg
- säger
- scen
- säkra
- Seek
- sett
- Val
- sända
- senior
- känslig
- hon
- webbplats
- Områden
- So
- Social hållbarhet
- Samhällsteknik
- sociala medier
- Mjukvara
- Solarwinds
- lösning
- Riktade spam-attacker
- Sponsrade
- Spot
- standard
- starta
- Ange
- Stater
- Strategi
- starkt
- Senare
- sådana
- Föreslår
- yta
- system
- System
- taktik
- skräddarsydd
- Målet
- riktade
- targeting
- mål
- grupp
- Teknisk
- tekniker
- än
- den där
- Smakämnen
- Storbritannien
- deras
- Dem
- sedan
- Där.
- de
- Tänkande
- detta
- hot
- Genom
- till
- trafik
- tränad
- Utbildning
- Litar
- Uk
- Ukraina
- ukrainska
- enhet
- United
- USA
- Uppdatering
- us
- användning
- Begagnade
- Användare
- användare
- med hjälp av
- leverantör
- försäljare
- version
- Victim
- offer
- vulcanus
- Sårbara
- var
- we
- Webbplats
- webbsidor
- były
- Vad
- om
- som
- VEM
- med
- ord
- arbetssätt
- fungerar
- Om er
- zephyrnet