Uzaktan erişim truva atının arkasındaki tehdit aktörü ‘RomCom RAT’ şimdi Ukrayna askeri kurumlarını hedef alıyor. Tehdit aktörlerinin, güvenliği ihlal edilmiş sistemlerde arka kapıları bırakmak için ‘Gelişmiş IP Tarayıcı’ ve ‘PDF Dolgusu’ gibi meşru uygulamaları taklit ettiği biliniyor.
Raporlar, “Gelişmiş IP Tarayıcı” kampanyasının 23 Temmuz 2022’de gerçekleştiğini söylüyor. Kurban, Truva atlı bir paket yüklediğinde, RomCom RAT’ı sisteme düşürür.
Daha sonra, tüm dizelerin gizlenmesi ve bir COM nesnesi olarak yürütülmesiyle geliştirilmiş kaçınma teknikleri 10 Ekim 2022’de gerçekleşti.
Sahte Sürümler Olarak Dağıtılan RomCom RAT
Daha önce, RomCom RAT, meşru “Gelişmiş IP Tarayıcı” uygulama web sitesini yanıltarak sahte web siteleri aracılığıyla dağıtılıyordu. Truva atlı “Gelişmiş IP Tarayıcı” paketi, “gelişmiş-ip-tarayıcı” üzerinde barındırıldı.[.]com” ve “gelişmiş ip tarayıcılar”[.]com” alan adları.
Özellikle, bu alan adları 167’nin aynı IP adresine çözümlendi.[.]71[.]175[.]165. Tehdit aktörü, son yük olarak RomCom RAT ile Truva atlı bir sürümü bırakarak “pdfFiller” web sitesini aldattı.
BlackBerry Araştırma ve İstihbarat ekibi, “Advanced_IP_Scanner_V2.5.4594.1.zip” ve “advancedipscanner.msi” olmak üzere iki sürümünü belirledi.
Araştırmacılar, tehdit aktörünün dosya adına tek bir “V” harfi ekleyerek “Advanced_IP_Scanner_2.5.4594.1.exe” adlı meşru araçları taklit ettiğini söylüyor. Paketi açıldıktan sonra, dördü kötü amaçlı damlalıklı 27 dosya tutar.
RomCom, sistem bilgilerini (disk ve dosya bilgileri numaralandırma) ve yerel olarak kurulmuş uygulamalar ve bellek işlemleri hakkında bilgi toplar. Ayrıca ekran görüntülerini alır ve toplanan verileri kodlanmış komut ve kontrole (C2) iletir. Özel bir komut alınırsa, kurbanın makinesinden otomatik silmeyi destekler.
“RomCom RAT’ın arkasındaki tehdit aktörü, Ukrayna’nın askeri kurumlarını hedef aldı. İlk enfeksiyon vektörü, bir sonraki aşama indiriciyi bırakan sahte bir web sitesine yol açan gömülü bir bağlantıya sahip bir e-postadır”, BlackBerry Araştırma ve İstihbarat ekibi
Orijinal bağlantı, orijinal Ukrayna Savunma Bakanlığı Web Sitesini yanıltmak için Ukrayna dilinde bir cazibeyle açılıyor
Son söz
Bu nedenle, RomCom RAT tehdit aktörü, dünya çapında kurbanları hedefleyen yeni teknikler geliştirmektedir. Yeni tehdit aktörü kampanyaları beklemek oldukça olasıdır.
Araştırmacılar ayrıca ABD, Brezilya ve Filipinler’deki BT şirketlerini, gıda komisyoncularını ve gıda üretimini hedef alan RomCom tehdit aktörünü buldu.
Ayrıca Okuyun: Güvenli Web Filtrelemeyi İndirin – Özgür e-kitap