RomCom RAT operatörleri, SolarWinds Network Performance Monitor, KeePass password manager ve PDF Reader Pro gibi hileli yazılım sürümleriyle kampanyalarını geliştirmeye devam ediyor.
Operasyonun hedefleri, Ukrayna’daki kurbanlardan ve İngiltere gibi İngilizce konuşulan belirli ülkelerden oluşuyor.
BlackBerry Tehdit Araştırma ve İstihbarat Ekibi yeni bir analizde, “Hedeflerin coğrafyası ve mevcut jeopolitik durum göz önüne alındığında, RomCom RAT tehdit aktörünün siber suç güdümlü olması pek olası değil” dedi.
En son bulgular, Kanadalı siber güvenlik şirketinin, Ukraynalı kuruluşlara RomCom RAT adlı bir uzaktan erişim trojanını dağıtmayı amaçlayan bir hedef odaklı kimlik avı kampanyasını açıklamasından bir hafta sonra geldi.
Bilinmeyen tehdit aktörünün, implantı dağıtmak için damlalık olarak Advanced IP Scanner ve pdfFiller’ın truva atına dönüştürülmüş türevlerinden yararlandığı da gözlemlendi.
Kampanyanın en son yinelemesi, benzer bir alan adına sahip sahte görünümlü web siteleri kurmayı, ardından kötü amaçlı yazılımın kötü amaçlı yazılım yüklü bir yükleyici paketini yüklemeyi ve ardından hedeflenen kurbanlara kimlik avı e-postaları göndermeyi gerektiriyor.
 |
| Sahte Keypass web sitesi |
 |
| Sahte SolarWinds web sitesi |
Araştırmacılar, “Sahte SolarWinds sitesinden ücretsiz deneme sürümünü indirirken, meşru bir kayıt formu beliriyor” dedi.
“Eğer doldurulursa, gerçek SolarWinds satış personeli, ürün denemesini takip etmek için kurbanla iletişime geçebilir. Bu teknik, kurbanı, yakın zamanda indirilen ve yüklenen uygulamanın tamamen meşru olduğuna inandırır.”
Bu sadece SolarWinds yazılımı değil. Diğer kimliğe bürünülmüş sürümler, Ukrayna dili de dahil olmak üzere popüler şifre yöneticisi KeePass ve PDF Reader Pro’yu içerir.
Fidye yazılımı grubunu takımyıldız temalı Tropical Scorpius adıyla izleyen Palo Alto Networks Unit 42’ye göre, RomCom RAT’ın kullanımı Küba fidye yazılımı ve Industrial Spy ile bağlantılı tehdit aktörleriyle de bağlantılı.
Siber suç ekosisteminin birbirine bağlı doğası göz önüne alındığında, iki faaliyet grubunun herhangi bir bağlantıyı paylaşıp paylaşmadığı veya kötü amaçlı yazılımın diğer tehdit aktörlerine bir hizmet olarak satışa sunulup sunulmadığı hemen belli olmuyor.