“Romcom” olarak adlandırılan sofistike bir uzaktan erişim Trojan (sıçan), İngiltere kuruluşlarını müşteri geri bildirim portalları aracılığıyla hedefleyen önemli bir tehdit olarak ortaya çıktı.
Siber güvenlik uzmanları, saldırganlara enfekte olmuş sistemler üzerinde kapsamlı bir uzaktan kumanda sağlayan kötü amaçlı yazılımları sunmak için bu görünüşte zararsız geri bildirim mekanizmalarından yararlanan koordineli bir kampanya belirlediler.
Saldırılar öncelikle Nisan 2023’ten bu yana Birleşik Krallık’taki finansal hizmetleri, sağlık hizmetlerini ve devlet yüklenicilerini hedef aldı.
.png
)
Romcom’un arkasındaki tehdit aktörleri, gömülü kötü amaçlı kod içeren ikna edici geri bildirim gönderilerini hazırlayarak ileri sosyal mühendislik becerileri gösterdi.
Müşteri hizmetleri temsilcileri bu başvuruları açtığında, kötü amaçlı yazılım, kalıcılık oluşturmak için geri bildirim işleme uygulamalarındaki güvenlik açıklarından yararlanır.
İlk analiz, 30’dan fazla kuruluşun tehlikeye atıldığını, saldırganların hassas müşteri verilerine ve dahili ağ kaynaklarına eriştiğini göstermektedir.
Bridewell analistleri, meşru HTTPS trafiğini taklit eden şifreli iletişim kanallarını kullanan kötü amaçlı yazılımların kendine özgü komuta ve kontrol altyapısını belirledi.
Seqrite’ın baş araştırmacısı Dr. Emma Richardson, “Bu kampanyanın karmaşıklığı, potansiyel ulus-devlet desteğine sahip iyi kaynaklı bir tehdit oyuncusu öneriyor” dedi.
“Saldırganların geleneksel güvenlik önlemlerini atlayabilme yeteneği, hedef ortamların kapsamlı bir şekilde keşifini gösteriyor.”
Bu kampanyayı ayıran şey, daha önce sofistike saldırılarda yetersiz kullanılan bir saldırı vektörü olan geri bildirim portallarına özel odaklanmasıdır.
Kötü amaçlı yazılımın “Romcom” adı, çift bileşenli yapısından kaynaklanmaktadır ve daha sonra yükledikten sonra komut sunucularıyla “iletişim kuran” kişiselleştirilmiş müşteri geri bildirimleri yoluyla “romantik” bir ilk yem ile.
En önemlisi, kötü amaçlı yazılımların modüler çerçevesidir ve saldırganların belirli organizasyonel ortamlara göre tasarlanmış ek yükler dağıtmasına izin verir.
Enfeksiyon mekanizması analizi
Enfeksiyon süreci, bir kuruluşun müşteri hizmetleri temsilcisi, gizlenmiş JavaScript içeren özel olarak hazırlanmış bir geri bildirim sunumu açtığında başlar.
Bu komut dosyası, birincil yükü tehlikeye atılan bir üçüncü taraf sunucusundan indiren bir PowerShell komutu yürütür. Başlangıç enfeksiyon dizisi tipik olarak aşağıdakilere benzemektedir:-
let feedback = {
"customerName": "James Wilson",
"feedbackText": "Great service overall!"
};Yürütüldükten sonra, sıçan, Windows güncelleme bileşeni olarak maskelenen planlanmış bir görevle kalıcılık oluşturur.
Kötü amaçlı yazılım daha sonra sistem bilgilerini toplamaya, ekran görüntülerini yakalamaya ve operatörlerinden daha fazla talimat beklerken tuş vuruşlarını izlemeye başlar.
Kötü amaçlı yazılım, hata ayıklama ortamlarını ve sanal makineleri tespit eden ve bu tür ortamlar tespit edilirse işlemini sonlandıran sofistike bir anti-analiz tekniği kullanır.
.webp)
STIX grafiği, ilk geri bildirim gönderiminden tam sistem uzlaşmasına kadar enfeksiyon dizisini gösterir.
.webp)
Siber güvenlik uzmanları, kuruluşların müşteri geri bildirim formları üzerinde katı girdi doğrulaması uygulamasını, geri bildirim yönetim sistemlerinde JavaScript işlemeyi devre dışı bırakmasını ve yetkisiz kod yürütülmesini önlemek için uygulama izin listesini kullanmasını önermektedir.
Güvenlik ekipleri ayrıca beklenmedik PowerShell etkinliği ve ROMCOM veya benzer sıçan enfeksiyonlarını gösterebilecek olağandışı giden ağ bağlantılarını da izlemelidir.
Are you from the SOC and DFIR Teams? – Analyse Real time Malware Incidents with ANY.RUN -> Start Now for Free.