RomCom olarak bilinen tehdit aktörü, Ukraynalı politikacıları ve savaşın yıktığı ülkeden kaçan mültecilere yardım eden ABD'deki bir sağlık kuruluşunu hedef alarak olay yerine geri döndü.
Bu saldırının dağıtımı, kurbanların kimlik avı taktikleri yoluyla klonlanmış bir web sitesine yönlendirildikten sonra büyük olasılıkla indirmeye teşvik edildiği Devolutions Remote Desktop Manager'ın truva atı haline getirilmiş bir sürümü aracılığıyla gerçekleştiriliyor.
Tehdit grubu şu yöntemi kullandı: yazım hatası özgün siteye çarpıcı bir benzerlik yaratmak için BlackBerry Tehdit Araştırması raporu ve İstihbarat ekibi.
RomCom, meşru yazılım sitelerine çok benzeyen sahte web siteleri oluşturarak, güvenliği ihlal edilmiş yazılımı yasal olduğunu düşünerek indirip yükleyen şüphelenmeyen kurbanlara kötü amaçlı yükler dağıtabilir.
Truva atı bulaştırılmış yükleyici, kullanıcıdan dosyaların yüklenmesini istediği hedef yolu seçmesi istendikten sonra kötü amaçlı yazılım yüklemeye başlar. Daha sonra, virüs bulaşmış sistemden temel ana bilgisayar ve kullanıcı meta verilerini sistematik olarak toplamaya başlar ve bunlar daha sonra komuta ve kontrol (C2) sunucusuna iletilir.
Jeopolitik Motivasyonlu Bir Siber Saldırı
Kampanya, bu tehdit aktörünün motivasyonunun para değil, saldırı stratejisine ve hedefleme yöntemlerine yön veren jeopolitik bir gündem olduğunu güçlü bir şekilde öne sürüyor.
BlackBerry CTI kıdemli direktörü Dmitry Bestuzhev'e göre, hedeflerin sahte güncelleme bildirimleri sunmak için hangi yazılımları kullandığına dair keşifler sürecin bir parçasıydı. "Başka bir deyişle, RomCom RAT'ın arkasındaki tehdit aktörü, her kurban hakkında, hangi yazılımı kullandıkları, nasıl kullandıkları ve üzerinde çalıştıkları sosyal veya politik programlar gibi önceki bilgilere güveniyor."
Oyunun sonu hassas bilgilerin dışarı sızmasıdır. Bestuzhev, "RomCom'un birlik konumları, savunma ve saldırı planları, silahlar ve askeri eğitim programları gibi askeri sırları hedef aldığını gördük" diyor.
Kendisi, Ukrayna'dan gelen mültecilere yardım sağlayan ABD merkezli sağlık hizmetleri kapsamında, hedeflenen bilgilerin, mültecilerin kim olduğunu belirlemek için programın nasıl çalıştığını içerdiğini, buna mültecilerin daha sonraki saldırılar için kullanılabilecek kişisel bilgilerinin de dahil olduğunu söylüyor.
Daha Önce Görmediğiniz Bir RomCom
Önceki RomCom kampanyaları Ukrayna ordusuna karşı kötü amaçlı yazılım dağıtmak için sahte Gelişmiş IP Tarayıcı yazılımı kullandı ve grup ayrıca SolarWinds Ağ Performansı Monitörü, KeePass Açık Kaynak Şifre Yöneticisi, ve PDF Reader Pro.
Critical Start'ın siber tehdit araştırma kıdemli yöneticisi Callie Guenther, RomCom'un en son kampanyalarda farklı yazılımlar kullanmanın yanı sıra C2 altyapısını meşru ağ trafiğine uyum sağlayacak şekilde uyarladığını açıklıyor.
"Bu, genellikle siyasi kampanyalar veya sağlık kuruluşlarıyla ilişkilendirilen iletişim protokollerinin kullanılmasını içerebilir ve bu da onların kötü niyetli faaliyetlerini tespit etmeyi daha da zorlaştırabilir" diyor.
Sosyal medyanın son kampanyaların önemli bir parçası olduğunu ekliyor. "RomCom, hedeflenen kişi veya kuruluşlara özel olarak tasarlanmış kimlik avı e-postaları, hedef odaklı kimlik avı veya diğer sosyal mühendislik tekniklerini kullanabilir" diye açıklıyor.
Politikacılar için, siyasi meslektaşları veya yetkilileri taklit eden e-posta mesajları hazırlayabilirler ve sağlık şirketi söz konusu olduğunda, sağlık bakım düzenleyici otoriteleri veya tıbbi ekipman veya yazılım satıcıları gibi görünen e-postalar gönderebilirler.
Günther, RomCom'un yeni yetenekler ve teknikler üzerindeki aktif gelişiminin, kayda değer düzeyde gelişmişlik ve uyarlanabilirliğe işaret ettiğini söylüyor.
"Bu, taktiklerini geliştirdikçe ve uzlaşma için yeni fırsatlar aradıkça hedef seçimlerinin değişebileceğini gösteriyor" diyor.
RomCom APT'ye Karşı Nasıl Savunma Yapılır?
Vulcan Cyber'ın kıdemli teknik mühendisi Mike Parkin, siber suçlu veya devlet destekli olup olmadığına bakılmaksızın, her saldırgan için olduğu gibi standart savunma taktiklerinin burada da geçerli olduğunu söylüyor.
“Yamaları güncel tutun. Sektördeki en iyi uygulamaları ve satıcının 'güvenli kurulum' önerilerini takip ederek dağıtım yapın" diyor. "Kullanıcıların eğitildiğinden ve onları saldırı yüzeyinin en savunmasız kısmı yerine çözümün parçası haline getiren güvenli bir kültür geliştirdiklerinden emin olun."
Bestuzhev, RomCom'un arkasındaki tehdit aktörünün sosyal mühendislik ve güvene güvendiğini söylüyor. Bu nedenle, hedef odaklı kimlik avının nasıl tespit edileceği konusunda çalışanların eğitimi de önemlidir.
"İkincisi, RomCom'un sistemlerdeki, ağ trafiğindeki ve dosyalardaki operasyonlarını tespit etmeye yönelik davranış kuralları gibi bağlamsal, öngörüye dayalı ve eyleme dönüştürülebilir tehdit istihbaratı sağlayan iyi bir siber tehdit istihbarat programına güvenmek önemlidir" diyor. "RomCom'la ilgili bu bağlamda, taktiklere, tekniklere ve prosedürlere (TTP) ve jeopolitik gelişmelere dayalı etkili bir tehdit modellemesi oluşturmak için yer var."
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- EVM Finans. Merkezi Olmayan Finans için Birleşik Arayüz. Buradan Erişin.
- Kuantum Medya Grubu. IR/PR Güçlendirilmiş. Buradan Erişin.
- PlatoAiStream. Web3 Veri Zekası. Bilgi Genişletildi. Buradan Erişin.
- Kaynak: https://www.darkreading.com/threat-intelligence/romcom-threat-actor-targets-ukrainian-politicians-us-healthcare
- :vardır
- :dır-dir
- :olumsuzluk
- :Neresi
- $UP
- 7
- a
- Hakkımızda
- Göre
- aktif
- faaliyetler
- Ekler
- ileri
- Sonra
- karşı
- gündem
- Yardım
- boyunca
- Ayrıca
- an
- ve
- herhangi
- Tamam
- ARE
- silah
- AS
- ilişkili
- At
- saldırı
- saldırılar
- Otantik
- Yetkililer
- merkezli
- BE
- arkasında
- olmak
- İYİ
- en iyi uygulamalar
- Karışım
- bina
- fakat
- Kampanya
- Kampanyalar
- CAN
- yetenekleri
- dava
- zor
- yakından
- arkadaşları
- Toplama
- çoğunlukla
- Yakın İletişim
- şirket
- uzlaşma
- Uzlaşılmış
- bağlam
- bağlamsal
- olabilir
- ülkeler
- ülke
- zanaat
- yaratmak
- Oluşturma
- kritik
- Yetiştirmek
- Kültür
- Siber
- Siber saldırı
- SİBER CEZA
- Tarih
- Savunma
- savunma
- teslim etmek
- dağıtmak
- açılma
- masaüstü
- hedef
- Belirlemek
- gelişme
- gelişmeler
- farklı
- yönetmen
- dağıtmak
- do
- indir
- her
- Etkili
- E-posta
- e-postalar
- Işçi
- teşvik
- mühendis
- Mühendislik
- ekipman
- özellikle
- gerekli
- gelişmek
- dumping
- açıklar
- sahte
- dosyalar
- takip etme
- İçin
- Airdrop Formu
- itibaren
- daha fazla
- jeopolitik
- Tercih Etmenizin
- grup
- he
- sağlık
- okuyun
- ev sahibi
- Ne kadar
- Nasıl Yapılır
- HTTPS
- önemli
- in
- Diğer
- dahil
- içerir
- Dahil olmak üzere
- gösterir
- bireyler
- sanayi
- bilgi
- Altyapı
- kurmak
- Kurulum
- yüklü
- yükleme
- İstihbarat
- dahil
- ilgili
- IP
- IT
- ONUN
- jpg
- tutmak
- bilinen
- meşru
- seviye
- sevmek
- Muhtemelen
- yerleri
- yapmak
- YAPAR
- Yapımı
- kötü amaçlı yazılım
- müdür
- Mayıs..
- medya
- tıbbi
- tıbbi malzeme
- mesajları
- Metadata
- yöntemleri
- olabilir
- Askeri
- Modelleme
- para
- izlemek
- Daha
- çoğu
- Motivasyon
- ağ
- ağ trafiği
- yeni
- dikkate değer
- notlar
- bildirimleri
- of
- saldırgan
- yetkilileri
- on
- açık kaynak
- Fırsatlar
- or
- sipariş
- kuruluşlar
- organizasyonlar
- Diğer
- Bölüm
- Şifre
- parola yöneticisi
- Yamalar
- yol
- performans
- kişisel
- Kimlik avı
- ağladım
- Platon
- Plato Veri Zekası
- PlatoVeri
- siyasi
- Politikacılar
- Popüler
- uygulamalar
- önceki
- başına
- prosedürler
- süreç
- Ürünler
- Programı
- Programlar
- protokolleri
- sağlama
- SIÇAN
- daha doğrusu
- RE
- Okuyucu
- son
- tavsiyeler
- arıtmak
- mülteciler
- Ne olursa olsun
- düzenleyici
- güvenmek
- uzak
- araştırma
- oda
- kurallar
- s
- testere
- diyor
- sahne
- güvenli
- Aramak
- görüldü
- seçim
- göndermek
- kıdemli
- hassas
- o
- yer
- Yer
- So
- Sosyal Medya
- Sosyal mühendislik
- sosyal medya
- Yazılım
- SolarWinds
- çözüm
- Mızrak Phishing
- Sponsor
- Spot
- standart
- başlama
- Eyalet
- Devletler
- Stratejileri
- şiddetle
- Daha sonra
- böyle
- Önerdi
- yüzey
- sistem
- Sistemler
- taktik
- ısmarlama
- Hedef
- Hedeflenen
- hedefleme
- hedefler
- takım
- Teknik
- teknikleri
- göre
- o
- The
- UK
- ve bazı Asya
- Onları
- sonra
- Orada.
- onlar
- Düşünme
- Re-Tweet
- tehdit
- İçinden
- için
- trafik
- eğitilmiş
- Eğitim
- Güven
- Uk
- Ukrayna
- Ukrayna
- birim
- Birleşik
- USA
- Güncelleme
- us
- kullanım
- Kullanılmış
- kullanıcı
- kullanıcılar
- kullanma
- satıcı
- satıcıları
- versiyon
- Kurban
- kurbanlar
- Vulkan
- Savunmasız
- oldu
- we
- Web sitesi
- web siteleri
- vardı
- Ne
- olup olmadığını
- hangi
- DSÖ
- ile
- sözler
- çalışma
- çalışır
- Sen
- zefirnet