Romcom Rat, İngiltere kuruluşlarını tehlikeye atılmış müşteri geri bildirim portalları aracılığıyla hedefliyor


Storm-0978, Tropikal Scorpius ve Void Rabisu olarak da bilinen Rus merkezli tehdit grubu ROMCOM, İngiltere şirketlerini perakende, misafirperverlik ve kritik ulusal altyapı (CNI) sektörlerinde yakın zamanda keşfedilen siber casusluk ve kar odaklı operasyonda “Operasyon Çöküş Projesi” adı veriyor.

En az 2022’den beri aktif olan Romcom, casusluğu siber suçlarla harmanlama geçmişine sahiptir, genellikle hükümet ve askeri varlıklara, özellikle Ukrayna işlerine ve NATO ile bağlantılı olanlara odaklanır.

Mart 2025’te Bridewell’in Siber Tehdit İstihbaratı (CTI) ekibi tarafından ortaya çıkarılan son kampanyaları, müşteri hizmetleri temsilcilerine kimlik avı e -postaları teslim etmek için dışla karşılaşan müşteri geri bildirim portallarını kullanma konusunda kurnaz bir strateji sergiliyor.

– Reklamcılık –
Google Haberleri
Romcom Rat
ROMCOM tarafından Hedef Perakende/Ağırlama Sektörü için kullanılan e -posta cazibesi

Çalınan bagaj veya standart altı havaalanı tesisleri gibi sorunlarla ilgili ikna edici kişiler ve şikayetlerle hazırlanmış bu e -postalar, Google Drive veya Microsoft OneDrive dosyaları olarak gizlenmiş kötü niyetli bağlantılar içerir ve sonuçta PDF olarak maskelenen sofistike yürütülebilir bir indiricinin dağıtılmasına yol açar.

Gelişen kötü amaçlı yazılım ve sıfır gün istismarları Romcom’un teknik ustalığını vurgulayın

Romcom’un teknik cephaneliği, Romcom Backdoor da dahil olmak üzere kötü amaçlı yazılımları ile Romcom 4.0 (Peapod) ve en son Snipbot (Romcom 5.0) gibi daha gizli varyantlara ilerledi.

Snipbot, gelişmiş gizleme teknikleri, sandviç önleme önlemleri ve enfekte olmuş sistemler üzerinde veri açığa vurma ve ayrıntılı kontrol için 27 komut seti sunar.

Grup ayrıca, Avrupa ve Kuzey Amerika genelinde sıfır-click saldırılarını yürütmek için 2024’ün sonlarında CVE-2024-9680 (Mozilla Firefox’ta kullanımdan sonra kullanılmayan bir kusur) ve CVE-2024-49039 (bir Windows ayrıcalık artış kusuru) zincirleme konusunda sıfır gün güvenlik açıklarından yararlanmada yeterlilik göstermiştir.

“Operasyon Aldatıcı Prospect” de enfeksiyon zinciri, tehdit aktör kontrollü yük barındırma sitelerine inmeden önce Opn.to gibi yeniden markal ve ara URL kısaltmalarıyla Amazon S3’te barındırılan alanlar aracılığıyla birden fazla yeniden yönlendirme aşamasından yararlanır.

Romcom Rat
Yeniden markalı olarak barındırılan ilk aşama alanı

Birleşik Krallık merkezli bir şirketten olası bir çalıntı sertifika ile imzalanmış bir yürütülebilir yük olan son yük, Mediafire’dan alınır ve Palo Alto’nun birimi 42 araştırması tarafından daha önce snipbot ile bağlantılı olan Snipbot’a bağlanmış olan Sondoks Kayıt Defteri Key-A tekniğinin kontrol edilmesi gibi potansiyel savunma kaçırma taktikleri sergiler.

Rapora göre, bu kampanyanın sosyal mühendislik taktikleri, yapılandırılmış bir şikayet biçimini izleyen ve sıkı son teslim tarihlerinde yükselmeyi tehdit ederek gözdağı vererek e -postalarla güvenden büyük ölçüde yararlanıyor.

AI tarafından üretilen içeriğin kullanımından, formül dil ve biçimlendirme anormallikleri nedeniyle şüpheleniliyor, Romcom’un inandırıcı yemlerin hazırlanmasında uyarlanabilirliğinin altını çiziyor.

HZ Hosting ve Aeza Group Ltd.

Yüklerin statik ve dinamik analizi sınırlı açık kötü niyetli davranışlar gösterirken, Romcom’un bilinen taktikleri ve ESET’in Win32/trojandownloader.romcom olarak tespiti ile örtüşme.

Bir daha fazla araştırma gerektiren daha derin bir tehdit önermektedir. Kuruluşlardan müşteri geri bildirim kanallarını incelemeleri, şüpheli alanları izlemeleri ve Rus devlet çıkarlarıyla uyumlu olduğundan şüphelenilen bir gruptan bu gelişen tehdidi azaltmak için uç nokta tespitini geliştirmeleri istenmektedir.

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link