RomCom tehdit grubu, uzaktan erişim Truva Atı ile İngilizce konuşulan çeşitli ülkeleri, özellikle İngiltere’yi hedeflemek için SolarWinds Ağ Performans İzleyicisi, KeePass Açık Kaynak Şifre Yöneticisi ve PDF Reader Pro dahil olmak üzere popüler yazılım ürünlerinin truva atlanmış sürümlerini aktif olarak kullanıyor ( FARE). Gelişmiş kalıcı tehdit (APT) için taktik, teknik ve prosedürlerde bir sapmadır.
Kötü amaçlı yazılım dağıtmak için sahte Gelişmiş IP Tarayıcı yazılımı kullanan Ukrayna ordusuna karşı önceki bir RomCom RAT kampanyasının analizi sırasında, BlackBerry’deki tehdit araştırma ve istihbarat ekibi, diğer coğrafi konumlarda yürütülen ek, daha yaygın kampanyalar keşfetti. Araştırmacılar, Birleşik Krallık ve diğer İngilizce konuşulan ülkeleri belirledi. yeni RomCom hedefleri Hizmet şartlarının analizine ve İngiltere’de kayıtlı yeni bir komuta ve kontrol sunucusunun SSL sertifikalarına dayanmaktadır.
BlackBerry ile seçkin tehdit araştırmacısı Dmitry Bestuzhev, Dark Reading’e, Blackberry’nin analizine dayanarak İngiltere’nin şu anda en büyük RomCom hedeflerinden biri olduğunu söylüyor.
Bestuzhev, “ABD ve İngiltere, Rusya ile savaşta Ukrayna’nın en aktif destekçileri olduğu için bu tahmin edilebilir” diyor.
RomCom RAT, bir kez düştüğünde, hassas verileri veya parolaları sızdırmak için tasarlanmıştır.
Bestuzhev, “Bilgi değerlidir ve stratejik olduğunda, saldırganın daha iyi saldırı stratejileri oluşturmasına ve herhangi bir alanda avantaj sağlamasına yardımcı olur” diye ekliyor. “Jeopolitik yeni hedefler belirleyecek. RomCom geniş çapta ifşa olduğundan, arkasındaki grubun TTP’lerini değiştirebileceğine inanmak mantıklı.”
Bu, grup için stratejideki ilk değişiklik değil. Bestuzhev, “RomCom keşfedildiğinde, genel olarak fidye yazılımıyla ilişkilendirildi” diyor. “Son kampanyalar, bu tehdit aktörünün motivasyonunun para olmadığını kanıtlıyor. Yeni hedefleri belirleyen bir jeopolitik gündem var.”
RomCom RAT’ın Sargısı
BlackBerry ekibi raporunda Truva atı oluşturma planının çok karmaşık olmadığını açıkladı.
RomCom, APT’nin kullanmak istediği yazılım satıcısından kodu sıyırır, kullanıcıyı yazım hatası veya benzer taktiklerle kandırması muhtemel kötü amaçlı bir etki alanı kaydeder, gerçek uygulamayı truva atlar ve ardından kötü amaçlı yazılımı sahte siteye yükler. Ardından, çeşitli kanallar aracılığıyla istenen hedefe bir kimlik avı cazibesi gönderir ve patlama – hedef tehlikeye girer.
Coalfire başkan yardımcısı Andrew Barratt, Dark Reading’e, sarma yaklaşımının yeni olmadığını söylüyor; FIN7 gibi diğer APT’ler ve gruplar benzer taktikler kullandılar.
Barratt, “Bu saldırı, bir dizi satıcı ürün destek aracının taklit edildiğini veya kötü amaçlı yazılımla “sarıldığını” gördüğümüz pandemi sırasında araştırdığımız bazı saldırıların doğrudan bir kopyası gibi görünüyor” diyor. “‘Sarma’ süreci, temeldeki meşru aracın hala konuşlandırıldığı, ancak bu dağıtımın bir parçası olarak bazı kötü amaçlı yazılımların hedef ortama bırakıldığı anlamına gelir.”
RomCom İnsanları Hedefliyor
RomCom saldırılarına karşı savunmak için, Vulcan Cyber’de kıdemli teknik mühendis olan Mike Parkin, kampanyanın devlet casusluğu yönünü unutmayı ve bunun yerine sosyal mühendisliğe ve gerçek hedeflere – bireylere odaklanmayı tavsiye ediyor.
Parkin, Dark Reading’e, “Mevcut jeopolitik durumla, perde arkasında devlet düzeyinde bir müdahale olması kuvvetle muhtemeldir. Ancak özünde bu, insan hedeflerine yönelik bir saldırıdır,” diye açıklıyor. “Öncelikle meşru bir site gibi görünen kötü niyetli bir siteye gitmek için e-posta yoluyla sosyal mühendislik uygulanmış kurbanlara güveniyorlar. Bu, kullanıcıları birincil saldırı yüzeyinin yanı sıra ilk savunma hattı haline getiriyor.”