Tổng quan
Nhóm tác động RomCom đã một cách có chọn lọc theo dõi sự kiện địa chính trị liên quan đến cuộc chiến ở Ukraine, nhắm đến quân đội, chuỗi cung ứng thực phẩm và các công ty công nghệ thông tin. Trong chiến dịch mới nhất của RomCom, đội ngũ nghiên cứu và thông tin đe dọa của BlackBerry đã quan sát RomCom tấn công các chính trị gia ở Ukraine đang làm việc chặt chẽ với các quốc gia phương Tây, cũng như một công ty chăm sóc sức khỏe của Mỹ cung cấp viện trợ nhân đạo cho người tị nạn từ Ukraine và nhận được sự trợ giúp y tế tại Mỹ.
Sự tấn công này là phần đầu tiên của nghiên cứu của chúng tôi về chiến dịch độc hại mới nhất của RomCom, trong khi phần hai sẽ bao gồm cách thức hoạt động của RomCom, bao gồm kỹ thuật phát hiện.
Thông tin về MITRE ATT&CK®
Chiến thuật
TA0043, TA0001, TA0002, TA0003, TA0005, TA0009, TA0010, TA0011, TA0040
Kỹ thuật
T1598, T1598.002, T1189, T1559, T1218, T1204, T1546.015, T1027, T1140, T1036, T1564.001, T1112, T1057, T1083, T1082, T1217, T1113, T1090, T1071, T1071.001, T1095, T1573.002, T1105, T1486, T15007, T1041
Vũ khí và Tổng quan kỹ thuật
Vũ khí
Ứng dụng đã bị nhiễm virus, tải trọng dll x64
Vector tấn công
Spear-phishing
Cơ sở hạ tầng mạng
Website lừa đảo, máy chủ C2 sử dụng chứng chỉ SSL tự ký
Mục tiêu
Chính trị gia từ Ukraine; Các tổ chức chăm sóc sức khỏe dựa trên Mỹ
Phân tích kỹ thuật
Bối cảnh
Vào giữa tháng 3 năm 2023, chúng tôi nhận thấy một sự gia tăng trong công nghệ theo dõi của chúng tôi đối với các tác nhân gây hại RomCom RAT. Sự gia tăng này bao gồm việc tạo ra một số tên miền mới và các đối tác liên quan, trong đó có “startleague[.]net”, được liên kết với một tệp tương quan với SHA256 – c94e889a6c9f4c37f34f75bf54e6d1b2cd7ee654cd397df348d46abe0b0f6ca3 và có tên “RemoteDesktopManager.2022.3.35.0.exe”.
Remote Desktop Manager là gì?
Như tên gọi của nó, Devolutions Remote Desktop Manager (RDM) là một tiện ích hợp pháp được thiết kế để giúp tạo điều kiện cho việc kết nối từ xa an toàn. Nó tương thích với nhiều tiện ích và công nghệ kết nối từ xa thông dụng như Citrix, FTP, Apple Remote Desktop, TeamViewer, LogMeIn, Microsoft Remote Desktop (RDP), SSH Shell và nhiều hơn nữa.
Theo trang web của nhà phát triển:
“Remote Desktop Manager là một ứng dụng tích hợp một bộ công cụ và quản lý toàn diện để đáp ứng nhu cầu của bất kỳ nhóm IT nào. Nó được thiết kế để tập trung các công nghệ kết nối từ xa, thông tin đăng nhập và truy cập an toàn vào các tài nguyên này. Hầu hết các kết nối được thiết lập bằng cách sử dụng một thư viện bên ngoài hoặc phần mềm của bên thứ ba.”
Vector tấn công
Mặc dù hiện chưa rõ phương pháp nhiễm trùng ban đầu nào đã được sử dụng để khởi động chuỗi thực hiện, nhưng các cuộc tấn công RomCom trước đây đã sử dụng email lừa đảo để dẫn dắt mục tiêu đến một trang web lừa đảo chứa phiên bản độc hại của phần mềm phổ biến. Có khả năng cao rằng điều này cũng xuất hiện trong trường hợp này, vì các chiến thuật, kỹ thuật và thủ tục tác động (TTP) khớp nhau. Chúng tôi đã xác nhận rằng một trang web bị sao chép đã được sử dụng để lưu trữ một trình cài đặt độc hại được tạo ra đặc biệt cho phiên bản độc hại của Devolutions Remote Desktop Manager, và rằng trang web độc hại này gần như không thể phân biệt được với trang web chính thức.
Tên miền giả dùng một loại typosquatting để cố gắng xuất hiện gần giống như tên thật nhất có thể. Loại miền (lạm dụng) này thường gặp trong các cuộc tấn công lừa đảo mọi loại, khi các tác nhân đe dọa thiết lập cơ sở hạ tầng trực tuyến với một đặc điểm chung: cố gắng lừa người dùng tin tưởng họ đang tương tác với công ty hoặc tổ chức thật, bằng cách làm trang web giả của họ trông giống với trang web thật nhất. Quan trọng là hiểu rằng chỉ vì một trang web có tên công ty mà bạn biết và tin tưởng trong URL, điều đó không có nghĩa là trang web bạn đang truy cập thuộc sở hữu hoặc vận hành bởi công ty đó.