ผู้ก่อภัยคุกคามที่รู้จักกันในชื่อ RomCom ได้กลับมาที่เกิดเหตุอีกครั้ง โดยมุ่งเป้าไปที่นักการเมืองยูเครนและองค์กรด้านการดูแลสุขภาพในสหรัฐอเมริกาที่เกี่ยวข้องกับการช่วยเหลือผู้ลี้ภัยที่หลบหนีออกจากประเทศที่ถูกทำลายด้วยสงคราม
การโจมตีนี้เกิดขึ้นผ่าน Devolutions Remote Desktop Manager เวอร์ชันโทรจัน ซึ่งเหยื่ออาจได้รับการสนับสนุนให้ดาวน์โหลดหลังจากถูกนำไปยังเว็บไซต์โคลนโดยใช้กลวิธีฟิชชิ่ง
กลุ่มภัยคุกคามใช้รูปแบบของ การพิมพ์ผิด เพื่อสร้างความคล้ายคลึงที่โดดเด่นกับสถานที่จริงตาม รายงานจากการวิจัยภัยคุกคามของ BlackBerry และทีมข่าวกรอง
ด้วยการสร้างเว็บไซต์ปลอมที่มีลักษณะคล้ายกับไซต์ซอฟต์แวร์ที่ถูกกฎหมายอย่างใกล้ชิด RomCom สามารถกระจายเพย์โหลดที่เป็นอันตรายไปยังเหยื่อที่ไม่สงสัยซึ่งดาวน์โหลดและติดตั้งซอฟต์แวร์ที่ถูกบุกรุกโดยคิดว่าถูกต้องตามกฎหมาย
โปรแกรมติดตั้งโทรจันจะเริ่มติดตั้งมัลแวร์หลังจากที่ผู้ใช้ได้รับแจ้งให้เลือกเส้นทางปลายทางที่ต้องการให้ติดตั้งไฟล์ จากนั้นจะเริ่มรวบรวมข้อมูลโฮสต์และข้อมูลเมตาของผู้ใช้ที่สำคัญอย่างเป็นระบบจากระบบที่ติดไวรัส ซึ่งต่อมาจะถูกส่งไปยังเซิร์ฟเวอร์คำสั่งและการควบคุม (C2)
การโจมตีทางไซเบอร์ที่มีแรงจูงใจทางภูมิรัฐศาสตร์
การรณรงค์ครั้งนี้แสดงให้เห็นอย่างชัดเจนว่าแรงจูงใจของผู้คุกคามรายนี้ไม่ใช่เงิน แต่เป็นวาระทางภูมิรัฐศาสตร์ที่เป็นแนวทางในกลยุทธ์การโจมตีและวิธีการกำหนดเป้าหมาย
การทบทวนว่าเป้าหมายซอฟต์แวร์ใดที่ใช้เพื่อส่งการแจ้งเตือนการอัปเดตปลอมเป็นส่วนหนึ่งของกระบวนการ ตามที่ Dmitry Bestuzhev ผู้อำนวยการอาวุโส CTI, BlackBerry กล่าว “กล่าวอีกนัยหนึ่ง ผู้คุกคามที่อยู่เบื้องหลัง RomCom RAT อาศัยข้อมูลก่อนหน้านี้เกี่ยวกับเหยื่อแต่ละราย เช่น ซอฟต์แวร์ที่พวกเขาใช้ วิธีการใช้งาน และโครงการทางสังคมหรือการเมืองที่พวกเขากำลังดำเนินการอยู่”
จุดจบคือการกรองข้อมูลที่ละเอียดอ่อน “เราเห็น RomCom กำหนดเป้าหมายไปที่ความลับทางการทหาร เช่น ที่ตั้งหน่วย แผนการป้องกันและรุก อาวุธ [และ] โครงการฝึกทหาร” เบสตูเชฟตั้งข้อสังเกต
เขากล่าวว่าหน่วยงานด้านการรักษาพยาบาลในสหรัฐฯ ให้ความช่วยเหลือผู้ลี้ภัยจากยูเครน ข้อมูลที่กำหนดเป้าหมายรวมถึงวิธีการทำงานของโปรแกรมเพื่อระบุว่าผู้ลี้ภัยคือใคร ซึ่งรวมถึงข้อมูลส่วนบุคคลของผู้ลี้ภัยซึ่งสามารถนำไปใช้ในการโจมตีเพิ่มเติมได้
RomCom ที่คุณไม่เคยเห็นมาก่อน
ก่อนหน้า แคมเปญรอมคอม เพื่อต่อต้านกองทัพยูเครนที่ใช้ซอฟต์แวร์ Advanced IP Scanner ปลอมเพื่อส่งมัลแวร์ และกลุ่มยังได้กำหนดเป้าหมายไปยังประเทศที่พูดภาษาอังกฤษ — โดยเฉพาะสหราชอาณาจักร — ด้วยผลิตภัณฑ์ซอฟต์แวร์ยอดนิยมเวอร์ชันโทรจัน รวมถึง SolarWinds Network Performance Monitor, KeePass Open-Source Password Manager, และ PDF Reader Pro
Callie Guenther ผู้จัดการอาวุโสฝ่ายวิจัยภัยคุกคามทางไซเบอร์ที่ Critical Start อธิบายว่าในแคมเปญล่าสุด พร้อมด้วยการใช้ซอฟต์แวร์ที่แตกต่างกัน RomCom ยังได้ปรับโครงสร้างพื้นฐาน C2 เพื่อให้ผสมผสานกับการรับส่งข้อมูลเครือข่ายที่ถูกกฎหมาย
“สิ่งนี้อาจเกี่ยวข้องกับการใช้โปรโตคอลการสื่อสารที่มักเกี่ยวข้องกับการรณรงค์ทางการเมืองหรือองค์กรด้านการดูแลสุขภาพ ทำให้การตรวจจับกิจกรรมที่เป็นอันตรายมีความท้าทายมากขึ้น” เธอกล่าว
เธอเสริมว่าโซเชียลมีเดียเป็นส่วนสำคัญของแคมเปญล่าสุด “RomCom อาจใช้อีเมลฟิชชิ่ง สเปียร์ฟิชชิ่ง หรือเทคนิควิศวกรรมสังคมอื่นๆ ที่ปรับให้เหมาะกับบุคคลหรือองค์กรเป้าหมาย” เธออธิบาย
สำหรับนักการเมือง พวกเขาสามารถสร้างข้อความอีเมลที่แอบอ้างเป็นเพื่อนร่วมงานทางการเมืองหรือเจ้าหน้าที่ และในกรณีของบริษัทด้านการดูแลสุขภาพ พวกเขาอาจส่งอีเมลที่สวมรอยเป็นหน่วยงานกำกับดูแลด้านการดูแลสุขภาพหรือผู้จำหน่ายอุปกรณ์หรือซอฟต์แวร์ทางการแพทย์
Guenther กล่าวว่าการพัฒนาความสามารถและเทคนิคใหม่ๆ ของ RomCom บ่งชี้ถึงระดับความซับซ้อนและความสามารถในการปรับตัวที่โดดเด่น
“สิ่งนี้ชี้ให้เห็นว่าการเลือกเป้าหมายของพวกเขาอาจมีการพัฒนาเมื่อพวกเขาปรับปรุงกลยุทธ์และแสวงหาโอกาสใหม่ ๆ สำหรับการประนีประนอม” เธอกล่าว
วิธีป้องกัน RomCom APT
Mike Parkin วิศวกรด้านเทคนิคอาวุโสของ Vulcan Cyber กล่าวว่ากลยุทธ์การป้องกันมาตรฐานจะมีผลเช่นเดียวกับผู้โจมตี ไม่ว่าพวกเขาจะเป็นอาชญากรไซเบอร์หรือได้รับการสนับสนุนจากรัฐก็ตาม
“อัพเดทแพตช์ให้ทันสมัยอยู่เสมอ ปรับใช้แนวทางปฏิบัติที่ดีที่สุดในอุตสาหกรรมและคำแนะนำ 'การติดตั้งที่ปลอดภัย' ของผู้จำหน่าย” เขากล่าว “ตรวจสอบให้แน่ใจว่าผู้ใช้ได้รับการฝึกอบรมและปลูกฝังวัฒนธรรมที่ปลอดภัย ซึ่งทำให้พวกเขาเป็นส่วนหนึ่งของการแก้ปัญหา ไม่ใช่ส่วนที่อ่อนแอที่สุดของพื้นผิวการโจมตี”
Bestuzhev กล่าวว่าผู้คุกคามที่อยู่เบื้องหลัง RomCom อาศัยวิศวกรรมทางสังคมและความไว้วางใจ ดังนั้นการฝึกอบรมพนักงานเกี่ยวกับวิธีการตรวจจับฟิชชิ่งแบบสเปียร์จึงมีความสำคัญเช่นกัน
“ประการที่สอง สิ่งสำคัญคือต้องพึ่งพาโปรแกรมข่าวกรองภัยคุกคามทางไซเบอร์ที่ดี โดยให้ข้อมูลภัยคุกคามตามบริบท คาดการณ์ได้ และดำเนินการได้ เช่น กฎพฤติกรรมเพื่อตรวจจับการทำงานของ RomCom ในระบบ การรับส่งข้อมูลเครือข่าย และไฟล์” เขากล่าว “ด้วยบริบทเกี่ยวกับ RomCom นี้ จึงมีที่ว่างสำหรับการสร้างแบบจำลองภัยคุกคามที่มีประสิทธิภาพโดยอิงตามกลยุทธ์ เทคนิค และขั้นตอน (TTP) และการพัฒนาทางภูมิรัฐศาสตร์”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- การเงิน EVM ส่วนต่อประสานแบบครบวงจรสำหรับการเงินแบบกระจายอำนาจ เข้าถึงได้ที่นี่.
- กลุ่มสื่อควอนตัม IR/PR ขยาย เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. ข้อมูลอัจฉริยะ Web3 ขยายความรู้ เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/threat-intelligence/romcom-threat-actor-targets-ukrainian-politicians-us-healthcare
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- $ ขึ้น
- 7
- a
- เกี่ยวกับเรา
- ตาม
- คล่องแคล่ว
- กิจกรรม
- เพิ่ม
- สูง
- หลังจาก
- กับ
- ระเบียบวาระการประชุม
- ช่วย
- ตาม
- ด้วย
- an
- และ
- ใด
- ใช้
- เป็น
- อาวุธ
- AS
- ที่เกี่ยวข้อง
- At
- โจมตี
- การโจมตี
- จริง
- เจ้าหน้าที่
- ตาม
- BE
- หลัง
- กำลัง
- ที่ดีที่สุด
- ปฏิบัติที่ดีที่สุด
- การผสมผสาน
- การก่อสร้าง
- แต่
- รณรงค์
- แคมเปญ
- CAN
- ความสามารถในการ
- กรณี
- ท้าทาย
- อย่างใกล้ชิด
- เพื่อนร่วมงาน
- การเก็บรวบรวม
- อย่างธรรมดา
- การสื่อสาร
- บริษัท
- การประนีประนอม
- ที่ถูกบุกรุก
- สิ่งแวดล้อม
- ตามบริบท
- ได้
- ประเทศ
- ประเทศ
- หัตถกรรม
- สร้าง
- การสร้าง
- วิกฤติ
- ปลูกฝัง
- วัฒนธรรม
- ไซเบอร์
- cyberattack
- อาชญากรไซเบอร์
- วันที่
- ป้องกัน
- การป้องกัน
- ส่งมอบ
- ปรับใช้
- การใช้งาน
- เดสก์ท็อป
- ปลายทาง
- กำหนด
- พัฒนาการ
- การพัฒนา
- ต่าง
- ผู้อำนวยการ
- กระจาย
- do
- ดาวน์โหลด
- แต่ละ
- มีประสิทธิภาพ
- อีเมล
- อีเมล
- ลูกจ้าง
- สนับสนุนให้
- วิศวกร
- ชั้นเยี่ยม
- อุปกรณ์
- โดยเฉพาะอย่างยิ่ง
- จำเป็น
- คาย
- การกรอง
- อธิบาย
- เทียม
- ไฟล์
- ดังต่อไปนี้
- สำหรับ
- ฟอร์ม
- ราคาเริ่มต้นที่
- ต่อไป
- ภูมิศาสตร์การเมือง
- ดี
- บัญชีกลุ่ม
- he
- การดูแลสุขภาพ
- โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม
- เจ้าภาพ
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ทำอย่างไร
- HTTPS
- สำคัญ
- in
- ในอื่น ๆ
- รวม
- รวมถึง
- รวมทั้ง
- บ่งชี้ว่า
- บุคคล
- อุตสาหกรรม
- ข้อมูล
- โครงสร้างพื้นฐาน
- ติดตั้ง
- การติดตั้ง
- การติดตั้ง
- การติดตั้ง
- Intelligence
- รวมถึง
- ร่วมมือ
- IP
- IT
- ITS
- jpg
- เก็บ
- ที่รู้จักกัน
- ถูกกฎหมาย
- ชั้น
- กดไลก์
- น่าจะ
- วันหยุด
- ทำ
- ทำให้
- การทำ
- มัลแวร์
- ผู้จัดการ
- อาจ..
- ภาพบรรยากาศ
- ทางการแพทย์
- อุปกรณ์ทางการแพทย์
- ข้อความ
- เมตาดาต้า
- วิธีการ
- อาจ
- ทหาร
- การสร้างแบบจำลอง
- เงิน
- การตรวจสอบ
- ข้อมูลเพิ่มเติม
- มากที่สุด
- แรงจูงใจ
- เครือข่าย
- การรับส่งข้อมูลเครือข่าย
- ใหม่
- โดดเด่น
- หมายเหตุ / รายละเอียดเพิ่มเติม
- การแจ้งเตือน
- of
- น่ารังเกียจ
- เจ้าหน้าที่
- on
- โอเพนซอร์ส
- โอกาส
- or
- ใบสั่ง
- organizacja
- องค์กร
- อื่นๆ
- ส่วนหนึ่ง
- รหัสผ่าน
- จัดการรหัสผ่าน
- แพทช์
- เส้นทาง
- รูปแบบไฟล์ PDF
- การปฏิบัติ
- ส่วนบุคคล
- ฟิชชิ่ง
- แผน
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- ทางการเมือง
- นักการเมือง
- ยอดนิยม
- การปฏิบัติ
- ก่อน
- มือโปร
- ขั้นตอน
- กระบวนการ
- ผลิตภัณฑ์
- โครงการ
- โปรแกรม
- โปรโตคอล
- การให้
- หนู
- ค่อนข้าง
- RE
- ผู้อ่าน
- เมื่อเร็ว ๆ นี้
- แนะนำ
- ปรับแต่ง
- ผู้ลี้ภัย
- ไม่คำนึงถึง
- หน่วยงานกำกับดูแล
- วางใจ
- รีโมท
- การวิจัย
- ห้อง
- กฎระเบียบ
- s
- เห็น
- พูดว่า
- ฉาก
- ปลอดภัย
- แสวงหา
- เห็น
- การเลือก
- ส่ง
- ระดับอาวุโส
- มีความละเอียดอ่อน
- เธอ
- เว็บไซต์
- สถานที่ทำวิจัย
- So
- สังคม
- วิศวกรรมทางสังคม
- โซเชียลมีเดีย
- ซอฟต์แวร์
- SolarWinds
- ทางออก
- หอกฟิชชิ่ง
- ผู้ให้การสนับสนุน
- จุด
- มาตรฐาน
- เริ่มต้น
- สถานะ
- สหรัฐอเมริกา
- กลยุทธ์
- เสถียร
- ต่อจากนั้น
- อย่างเช่น
- ชี้ให้เห็นถึง
- พื้นผิว
- ระบบ
- ระบบ
- กลยุทธ์
- ปรับปรุง
- เป้า
- เป้าหมาย
- กำหนดเป้าหมาย
- เป้าหมาย
- ทีม
- วิชาการ
- เทคนิค
- กว่า
- ที่
- พื้นที่
- สหราชอาณาจักร
- ของพวกเขา
- พวกเขา
- แล้วก็
- ที่นั่น
- พวกเขา
- คิด
- นี้
- การคุกคาม
- ตลอด
- ไปยัง
- การจราจร
- ผ่านการฝึกอบรม
- การฝึกอบรม
- วางใจ
- Uk
- ประเทศยูเครน
- ยูเครน
- หน่วย
- พร้อมใจกัน
- ประเทศสหรัฐอเมริกา
- บันทึก
- us
- ใช้
- มือสอง
- ผู้ใช้งาน
- ผู้ใช้
- การใช้
- ผู้ขาย
- ผู้ขาย
- รุ่น
- เหยื่อ
- ผู้ที่ตกเป็นเหยื่อ
- เทพนิยายโรมันโบราณ
- อ่อนแอ
- คือ
- we
- Website
- เว็บไซต์
- คือ
- อะไร
- ว่า
- ที่
- WHO
- กับ
- คำ
- การทำงาน
- โรงงาน
- คุณ
- ลมทะเล