RomCom Resurfaces: Chinh phục Các Chính trị gia ở Ukraine và Công ty chăm sóc sức khỏe của Mỹ cung cấp viện trợ cho người tị nạn từ Ukraine

romcom

Tổng quan

Nhóm tác động RomCom đã một cách có chọn lọc theo dõi sự kiện địa chính trị liên quan đến cuộc chiến ở Ukraine, nhắm đến quân đội, chuỗi cung ứng thực phẩm và các công ty công nghệ thông tin. Trong chiến dịch mới nhất của RomCom, đội ngũ nghiên cứu và thông tin đe dọa của BlackBerry đã quan sát RomCom tấn công các chính trị gia ở Ukraine đang làm việc chặt chẽ với các quốc gia phương Tây, cũng như một công ty chăm sóc sức khỏe của Mỹ cung cấp viện trợ nhân đạo cho người tị nạn từ Ukraine và nhận được sự trợ giúp y tế tại Mỹ.

Sự tấn công này là phần đầu tiên của nghiên cứu của chúng tôi về chiến dịch độc hại mới nhất của RomCom, trong khi phần hai sẽ bao gồm cách thức hoạt động của RomCom, bao gồm kỹ thuật phát hiện.

Thông tin về MITRE ATT&CK®

Chiến thuật

TA0043, TA0001, TA0002, TA0003, TA0005, TA0009, TA0010, TA0011, TA0040

Kỹ thuật

T1598, T1598.002, T1189, T1559, T1218, T1204, T1546.015, T1027, T1140, T1036, T1564.001, T1112, T1057, T1083, T1082, T1217, T1113, T1090, T1071, T1071.001, T1095, T1573.002, T1105, T1486, T15007, T1041

Xem thêm   Techies

Vũ khí và Tổng quan kỹ thuật

Vũ khí

Ứng dụng đã bị nhiễm virus, tải trọng dll x64

Vector tấn công

Spear-phishing

Cơ sở hạ tầng mạng

Website lừa đảo, máy chủ C2 sử dụng chứng chỉ SSL tự ký

Mục tiêu

Chính trị gia từ Ukraine; Các tổ chức chăm sóc sức khỏe dựa trên Mỹ

Phân tích kỹ thuật

Bối cảnh

Vào giữa tháng 3 năm 2023, chúng tôi nhận thấy một sự gia tăng trong công nghệ theo dõi của chúng tôi đối với các tác nhân gây hại RomCom RAT. Sự gia tăng này bao gồm việc tạo ra một số tên miền mới và các đối tác liên quan, trong đó có “startleague[.]net”, được liên kết với một tệp tương quan với SHA256 – c94e889a6c9f4c37f34f75bf54e6d1b2cd7ee654cd397df348d46abe0b0f6ca3 và có tên “RemoteDesktopManager.2022.3.35.0.exe”.

Remote Desktop Manager là gì?

Như tên gọi của nó, Devolutions Remote Desktop Manager (RDM) là một tiện ích hợp pháp được thiết kế để giúp tạo điều kiện cho việc kết nối từ xa an toàn. Nó tương thích với nhiều tiện ích và công nghệ kết nối từ xa thông dụng như Citrix, FTP, Apple Remote Desktop, TeamViewer, LogMeIn, Microsoft Remote Desktop (RDP), SSH Shell và nhiều hơn nữa.

Theo trang web của nhà phát triển:

“Remote Desktop Manager là một ứng dụng tích hợp một bộ công cụ và quản lý toàn diện để đáp ứng nhu cầu của bất kỳ nhóm IT nào. Nó được thiết kế để tập trung các công nghệ kết nối từ xa, thông tin đăng nhập và truy cập an toàn vào các tài nguyên này. Hầu hết các kết nối được thiết lập bằng cách sử dụng một thư viện bên ngoài hoặc phần mềm của bên thứ ba.”

Xem thêm   Virgil van Dijk của Liverpool - Truyền kỳ của một trung vệ vĩ đại

Vector tấn công

Mặc dù hiện chưa rõ phương pháp nhiễm trùng ban đầu nào đã được sử dụng để khởi động chuỗi thực hiện, nhưng các cuộc tấn công RomCom trước đây đã sử dụng email lừa đảo để dẫn dắt mục tiêu đến một trang web lừa đảo chứa phiên bản độc hại của phần mềm phổ biến. Có khả năng cao rằng điều này cũng xuất hiện trong trường hợp này, vì các chiến thuật, kỹ thuật và thủ tục tác động (TTP) khớp nhau. Chúng tôi đã xác nhận rằng một trang web bị sao chép đã được sử dụng để lưu trữ một trình cài đặt độc hại được tạo ra đặc biệt cho phiên bản độc hại của Devolutions Remote Desktop Manager, và rằng trang web độc hại này gần như không thể phân biệt được với trang web chính thức.

Tên miền giả dùng một loại typosquatting để cố gắng xuất hiện gần giống như tên thật nhất có thể. Loại miền (lạm dụng) này thường gặp trong các cuộc tấn công lừa đảo mọi loại, khi các tác nhân đe dọa thiết lập cơ sở hạ tầng trực tuyến với một đặc điểm chung: cố gắng lừa người dùng tin tưởng họ đang tương tác với công ty hoặc tổ chức thật, bằng cách làm trang web giả của họ trông giống với trang web thật nhất. Quan trọng là hiểu rằng chỉ vì một trang web có tên công ty mà bạn biết và tin tưởng trong URL, điều đó không có nghĩa là trang web bạn đang truy cập thuộc sở hữu hoặc vận hành bởi công ty đó.

Xem thêm   LMHT & FIFA online 3: Cảnh báo về vấn nạn Sò "lậu"

FO4VN ─ Đội hình Chiến thuật FO4 ─ Tra cứu cầu thủ FO4

Related Posts

Đánh giá chi tiết 12BET - Trang web cá cược hàng đầu châu Á

Đánh giá chi tiết 12BET – Trang web cá cược hàng đầu châu Á

Giới thiệu nhà cái 12BET 12BET là một nhà cái cá cược trực tuyến hàng đầu châu Á, được cấp phép bởi Cơ quan kiểm soát Cá…

FO4VN ─ Đội hình Chiến thuật FO4 ─ Tra cứu cầu thủ FO4

FO4VN ─ Đội hình Chiến thuật FO4 ─ Tra cứu cầu thủ FO4

Chào mừng các bạn đến với FO4VN! Đây là nơi bạn có thể tìm thấy đội hình và tra cứu thông tin cầu thủ trong FO4 một…

Đội hình Real Madrid 2017 - Đội hình bất khả chiến bại ở đấu trường châu Âu

Đội hình Real Madrid 2017 – Đội hình bất khả chiến bại ở đấu trường châu Âu

Đội hình Real Madrid 2017 là một đội hình bất khả chiến bại và là nỗi khiếp sợ của các đội bóng ở đấu trường châu Âu….

University of Missouri: Bringing Models to Life with 3D Printing

University of Missouri: Bringing Models to Life with 3D Printing

Caption: Những mô hình 3D của đơn vị MU Health Care sẽ làm điểm nhấn tại sự kiện của Hội đồng Thương mại Columbia Ngày 9 tháng…

Độ hình Chiến thuật FO4 ─ Tra cứu cầu thủ FO4

Độ hình Chiến thuật FO4 ─ Tra cứu cầu thủ FO4

Tiếu Ngạo Giang Hồ là một tựa game kiếm hiệp đáng chơi dựa trên nguyên tác truyện của Kim Dung. Hãy cùng tìm hiểu tại sao game…

Cấu hình laptop chơi Genshin Impact PC tối thiểu, max setting

Cấu hình laptop chơi Genshin Impact PC tối thiểu, max setting

Genshin Impact – tựa game với đồ họa 3D tuyệt đẹp và thiên hướng hoạt hình, kết hợp chơi cross-over giữa các hệ máy khác nhau. Đặc…