RomCom tehdit grubu, Ukrayna Devlet Başkanı Volodymyr Zelensky’nin Ukrayna’nın örgütle potansiyel geleceği konusunda katılmasının beklendiği Litvanya’daki NATO Zirvesi’ne katılanları hedef alan yeni bir kampanyayla bir kez daha geri döndü.
BlackBerry Tehdit Araştırma ve İstihbarat araştırmacıları, Macaristan’daki bir IP adresinden gönderilen ve Ukrayna yanlısı kuruluşları hedef almasıyla tanınan bir tehdit aktörü olan RomCom’a atfedilen iki kötü amaçlı belge keşfettiler.
Belgelerden biri Ukrayna Dünya Kongresi örgütünü taklit ediyor, diğeri ise “sahte lobicilik belgesi” [claiming to be] Ukrayna’yı desteklemek için”, araştırmacılar yakın tarihli bir blog yazısında açıkladılar.
Araştırmacılar, kampanyanın, ülkenin olası NATO üyeliğinin gündem maddelerinden biri olduğu bugün ve yarın Vilnius’ta yapılacak NATO Zirvesi’ne katılan Ukrayna taraftarlarını hedeflediği anlaşılıyor.
BlackBerry Araştırma ve İstihbarat Ekibi raporda, “… NATO Zirvesi’nin ve tehdit aktörü tarafından gönderilen ilgili yem belgelerine göre, hedeflenen kurbanlar Ukrayna temsilcileri, yabancı kuruluşlar ve Ukrayna’yı destekleyen kişilerdir.”
Saldırı, tehdit grubu tarafından kontrol edilen komuta ve kontrol (C2) altyapısına bağlantı oluşturmak için .RTF dosya biçiminden yararlanan kötü amaçlı kod yayar. Bu, bir arka kapı çalıştıran ve kurbanın profilini kaydetmek için tehdit grubunun uzak sunucusuna bağlanan RomCom indiricisi olan bir yük sağlar. BlackBerry’ye göre, grup kurbanın gösterilen ilgiye ve çabaya değdiğini düşünürse, aktör sonraki aşamada bir yük başlatacak ve kurbanın sistemi hakkında bilgi toplayacak.
Araştırmacılar, kötü amaçlı belgeleri 4 Temmuz’da keşfederken, RomCom’un kampanya için ilk tatbikatlarını 22 Haziran’da çoktan yaptığına inanıyorlar.
RomCom’un Saldırı Vektörü ve Follina
BlackBerry ekibi, kampanyanın ilk enfeksiyon vektörünü ortaya çıkarmadı; ancak, RomCom’un kurbanları ekibin ortaya çıkardığı Ukrayna Dünya Kongresi web sitesinin özel olarak hazırlanmış bir kopyasına tıklamaları için zıpkınla balık tutmayı kullandığını söylediler.
Siteye yönelik kötü amaçlı etki alanı, bir .info sonekiyle web sitesi gibi görünmek ve meşru görünmesini sağlamak için RomCom’un daha önce kullandığı bir taktik olan yazım hatası teknikleri kullanır. Typosquatting, tehdit aktörlerinin insanların URL’lerde yaygın olarak kullanılan markaların, kuruluşların ve işletme adlarının yazım hatalarından ve yanlış yazımlarından yararlanmalarının bir yoludur.
Kampanyanın kötü amaçlı bileşenlerinden bir diğeri de, Microsoft’un Follina olarak bilinen ve resmi olarak CVE-2022-30190 olarak izlenen Destek Teşhis Aracındaki (MSDT) bir kusurdan yararlanmaya yönelik bir yürütme zinciridir. Çok sayıda tehdit aktörü, Mayıs 2022’de keşfedildiğinde sıfır gün olan ancak bir sonraki ay yamalanan kusuru şimdiden hedef aldı.
Follina istismarı başarılı olursa saldırganlar, makrolar devre dışı bırakıldığında veya bir belge “Korumalı” modda açıldığında bile çalışan kötü amaçlı bir .DOCX veya .RTF belgesi oluşturarak uzaktan kod yürütme (RCE) tabanlı bir saldırı gerçekleştirebilir. bir Windows makinesinde.
Ekip, “Bu, MSDT’nin savunmasız bir sürümünü yürütmek için özel olarak hazırlanmış belgeden yararlanılarak elde edildi ve bu da bir saldırganın yürütme için yardımcı programa bir komut iletmesine izin verdi.” “Bu, kötü amaçlı belgeyi yürüten kişiyle aynı düzeyde ayrıcalıklarla bunu yapmayı içerir.”
RomCom: Fidye Yazılımından APT’ye
Palo Alto Networks’ün Unit42 ekibindeki araştırmacılar, RomCom’u ilk olarak Küba fidye yazılımına bağlı bir grup olarak tanımladılar, ancak faaliyetleri kısa süre sonra oradan küresel siyasi emellere doğru ilerledi. Grubun birincil odak noktası, Ukrayna hükümetine bağlı kişi ve kuruluşların yanı sıra o ülkenin üst düzey destekçilerini ve jeopolitik bağlantılarını hedef almak oldu.
RomCom, en son Trend Micro araştırmacıları tarafından Doğu Avrupa ve dünyanın diğer bölgelerindeki çeşitli Ukraynalı ve Ukrayna yanlısı hedeflere yönelik kampanyalarda izlendi.
BlackBerry, potansiyel kurbanların sistemlerinin hedef alınıp alınmadığını anlamalarına yardımcı olmak için en son RomCom kampanyası için çeşitli uzlaşma göstergelerini (IoC) raporuna dahil etti.
Genel olarak, araştırmacılar, hedeflerin kötü niyetli dosyaları, betikleri ve mesajları tespit etmelerini sağlayan davranış izleme yetenekleriyle donanmış güvenlik çözümleriyle kendilerini RomCom’a ve diğer gelişmiş kalıcı tehditlere (APT’ler) karşı korumalarını önerdi. Bu tür çözümler aynı zamanda ilgili tüm kötü amaçlı URL’leri de engelleyebilir. E-postaları kötü amaçlı ekler ve URL’ler için denetleyen bir güvenlik katmanı eklemenin, kuruluşların ve bireylerin ödün vermekten kaçınmasına da yardımcı olabileceğini belirttiler.
Ayrıca RomCom, taktiklerinin bir parçası olarak sosyal mühendislik ve güvenilir varlıkların yüksek düzeyde kimliğine bürünme kullandığından, insanların Ukrayna ile ilgili konulardaki istenmeyen mesajlardan şüphelenmesi ve herhangi bir bağlantıya veya dosyaya tıklamadan önce ilgili materyalleri ve URL’leri dikkatlice incelemesi gerektiğini söyledi. .