RomCom Resurfaces: Chinh phục Các Chính trị gia ở Ukraine và Công ty chăm sóc sức khỏe của Mỹ cung cấp viện trợ cho người tị nạn từ Ukraine

romcom

Tổng quan

Nhóm tác động RomCom đã một cách có chọn lọc theo dõi sự kiện địa chính trị liên quan đến cuộc chiến ở Ukraine, nhắm đến quân đội, chuỗi cung ứng thực phẩm và các công ty công nghệ thông tin. Trong chiến dịch mới nhất của RomCom, đội ngũ nghiên cứu và thông tin đe dọa của BlackBerry đã quan sát RomCom tấn công các chính trị gia ở Ukraine đang làm việc chặt chẽ với các quốc gia phương Tây, cũng như một công ty chăm sóc sức khỏe của Mỹ cung cấp viện trợ nhân đạo cho người tị nạn từ Ukraine và nhận được sự trợ giúp y tế tại Mỹ.

Sự tấn công này là phần đầu tiên của nghiên cứu của chúng tôi về chiến dịch độc hại mới nhất của RomCom, trong khi phần hai sẽ bao gồm cách thức hoạt động của RomCom, bao gồm kỹ thuật phát hiện.

Thông tin về MITRE ATT&CK®

Chiến thuật

TA0043, TA0001, TA0002, TA0003, TA0005, TA0009, TA0010, TA0011, TA0040

Kỹ thuật

T1598, T1598.002, T1189, T1559, T1218, T1204, T1546.015, T1027, T1140, T1036, T1564.001, T1112, T1057, T1083, T1082, T1217, T1113, T1090, T1071, T1071.001, T1095, T1573.002, T1105, T1486, T15007, T1041

Xem thêm   R-36 (SS-18 "Satan")

Vũ khí và Tổng quan kỹ thuật

Vũ khí

Ứng dụng đã bị nhiễm virus, tải trọng dll x64

Vector tấn công

Spear-phishing

Cơ sở hạ tầng mạng

Website lừa đảo, máy chủ C2 sử dụng chứng chỉ SSL tự ký

Mục tiêu

Chính trị gia từ Ukraine; Các tổ chức chăm sóc sức khỏe dựa trên Mỹ

Phân tích kỹ thuật

Bối cảnh

Vào giữa tháng 3 năm 2023, chúng tôi nhận thấy một sự gia tăng trong công nghệ theo dõi của chúng tôi đối với các tác nhân gây hại RomCom RAT. Sự gia tăng này bao gồm việc tạo ra một số tên miền mới và các đối tác liên quan, trong đó có “startleague[.]net”, được liên kết với một tệp tương quan với SHA256 – c94e889a6c9f4c37f34f75bf54e6d1b2cd7ee654cd397df348d46abe0b0f6ca3 và có tên “RemoteDesktopManager.2022.3.35.0.exe”.

Remote Desktop Manager là gì?

Như tên gọi của nó, Devolutions Remote Desktop Manager (RDM) là một tiện ích hợp pháp được thiết kế để giúp tạo điều kiện cho việc kết nối từ xa an toàn. Nó tương thích với nhiều tiện ích và công nghệ kết nối từ xa thông dụng như Citrix, FTP, Apple Remote Desktop, TeamViewer, LogMeIn, Microsoft Remote Desktop (RDP), SSH Shell và nhiều hơn nữa.

Theo trang web của nhà phát triển:

“Remote Desktop Manager là một ứng dụng tích hợp một bộ công cụ và quản lý toàn diện để đáp ứng nhu cầu của bất kỳ nhóm IT nào. Nó được thiết kế để tập trung các công nghệ kết nối từ xa, thông tin đăng nhập và truy cập an toàn vào các tài nguyên này. Hầu hết các kết nối được thiết lập bằng cách sử dụng một thư viện bên ngoài hoặc phần mềm của bên thứ ba.”

Xem thêm   5 Cầu thủ thiên tài sử dụng 2 chân như không ai trong lịch sử bóng đá thế giới

Vector tấn công

Mặc dù hiện chưa rõ phương pháp nhiễm trùng ban đầu nào đã được sử dụng để khởi động chuỗi thực hiện, nhưng các cuộc tấn công RomCom trước đây đã sử dụng email lừa đảo để dẫn dắt mục tiêu đến một trang web lừa đảo chứa phiên bản độc hại của phần mềm phổ biến. Có khả năng cao rằng điều này cũng xuất hiện trong trường hợp này, vì các chiến thuật, kỹ thuật và thủ tục tác động (TTP) khớp nhau. Chúng tôi đã xác nhận rằng một trang web bị sao chép đã được sử dụng để lưu trữ một trình cài đặt độc hại được tạo ra đặc biệt cho phiên bản độc hại của Devolutions Remote Desktop Manager, và rằng trang web độc hại này gần như không thể phân biệt được với trang web chính thức.

Tên miền giả dùng một loại typosquatting để cố gắng xuất hiện gần giống như tên thật nhất có thể. Loại miền (lạm dụng) này thường gặp trong các cuộc tấn công lừa đảo mọi loại, khi các tác nhân đe dọa thiết lập cơ sở hạ tầng trực tuyến với một đặc điểm chung: cố gắng lừa người dùng tin tưởng họ đang tương tác với công ty hoặc tổ chức thật, bằng cách làm trang web giả của họ trông giống với trang web thật nhất. Quan trọng là hiểu rằng chỉ vì một trang web có tên công ty mà bạn biết và tin tưởng trong URL, điều đó không có nghĩa là trang web bạn đang truy cập thuộc sở hữu hoặc vận hành bởi công ty đó.

Xem thêm   Kayn mùa 13: Khám phá Bảng Ngọc, Lên Đồ và Cách Chơi mạnh nhất

FO4VN ─ Đội hình Chiến thuật FO4 ─ Tra cứu cầu thủ FO4

Related Posts

Captain America tiết lộ là Hydra: điều gì đã xảy ra?

Captain America tiết lộ là Hydra: điều gì đã xảy ra?

Những cú sốc trong truyện tranh Captain America: Steve Rogers Đọc tin tức này, chắc hẳn bạn cũng sẽ ngạc nhiên và không thể tin được. Trong…

FO4VN ─ Dr. Araujo: Cố vấn khoa học của Hiệp hội Nha khoa Hoa Kỳ

FO4VN ─ Dr. Araujo: Cố vấn khoa học của Hiệp hội Nha khoa Hoa Kỳ

Với sự chào đón nồng ấm, Hiệp hội Nha khoa Hoa Kỳ (ADA) đã chào đón bác sĩ Marcelo W.B. Araujo, DDS, MS, PhD với vai trò…

Chè Đậu Đen - Món tráng miệng Đậu Đen thơm ngon của Việt Nam

Chè Đậu Đen – Món tráng miệng Đậu Đen thơm ngon của Việt Nam

Chè Đậu Đen – một món tráng miệng rất phổ biến với đậu đen tại Việt Nam. Bạn có thể thưởng thức nó nóng trong những ngày…

MAD Lions KOI - Đội tuyển Tây Ban Nha gây sốt trong thế giới Game LMHT

MAD Lions KOI – Đội tuyển Tây Ban Nha gây sốt trong thế giới Game LMHT

MAD Lions KOI là một nhóm LMHT Tây Ban Nha thành lập vào năm 2017 bởi Jorge Schnura và Marcos Eguillor. Đội này đã được OverActive Media…

Dplus ─ Nhà tài trợ đội eSports hàng đầu Hàn Quốc

Dplus ─ Nhà tài trợ đội eSports hàng đầu Hàn Quốc

Dplus (trước đây được biết đến với tên gọi DWG KIA và DAMWON Gaming) là một tổ chức eSports Hàn Quốc. Hiện nay, họ đang thi đấu…

Vững bước hành trình...chàng trung vệ Per Mertesacker vượt qua khó khăn để trở thành nhà vô địch World Cup

Vững bước hành trình…chàng trung vệ Per Mertesacker vượt qua khó khăn để trở thành nhà vô địch World Cup

Đánh giá sách bởi ERIC BROWN Per Mertesacker đã từng được cha mình bác bỏ cơ hội trở thành một cầu thủ bóng đá chuyên nghiệp khi…