RomCom olarak bilinen tehdit aktörü, Ukraynalı politikacıları ve ABD’de savaştan zarar görmüş ülkeden kaçan mültecilere yardım etmekle görevli bir sağlık kuruluşunu hedef alarak olay yerine geri döndü.
Bu saldırının konuşlandırılması, Devolutions Remote Desktop Manager’ın truva atı uygulanmış bir sürümü aracılığıyla gerçekleştirilir; kurbanlar, kimlik avı taktikleri yoluyla klonlanmış bir web sitesine yönlendirildikten sonra bunları indirmeye büyük olasılıkla teşvik edilir.
BlackBerry Tehdit Araştırma ve İstihbarat ekibinin raporuna göre, tehdit grubu, orijinal siteye çarpıcı bir benzerlik oluşturmak için bir tür yazım hatası kullandı.
RomCom, meşru yazılım sitelerine çok benzeyen sahte web siteleri oluşturarak, güvenliği ihlal edilmiş yazılımı yasal olduğunu düşünerek indirip yükleyen, bundan şüphelenmeyen kurbanlara kötü amaçlı yükler dağıtabilir.
Kullanıcıdan dosyaların yüklenmesini istedikleri hedef yolu seçmesi istendikten sonra, truva atına bulaştırılmış yükleyici kötü amaçlı yazılımı yüklemeye başlar. Daha sonra sistemli bir şekilde virüs bulaşmış sistemden temel ana bilgisayar ve kullanıcı meta verilerini toplamaya başlar ve bu veriler daha sonra kendi komuta ve kontrol (C2) sunucusuna iletilir.
Jeopolitik Motivasyonlarla Bir Siber Saldırı
Kampanya, bu tehdit aktörünün motivasyonunun para değil, saldırı stratejisine ve hedefleme yöntemlerine rehberlik eden jeopolitik bir gündem olduğunu güçlü bir şekilde öne sürüyor.
BlackBerry CTI Kıdemli Direktörü Dmitry Bestuzhev’e göre, hedeflerin sahte güncelleme bildirimleri göndermek için hangi yazılımları kullandığını keşfetmek sürecin bir parçasıydı. “Başka bir deyişle, RomCom RAT’ın arkasındaki tehdit aktörü, hangi yazılımı kullandıkları, nasıl kullandıkları ve üzerinde çalıştıkları sosyal veya politik programlar gibi her kurban hakkında önceki bilgilere dayanıyor.”
Oyunsonu, hassas bilgilerin sızdırılmasıdır. “RomCom’un birim yerleri, savunma ve saldırı planları, silahlar gibi askeri sırları hedef aldığını gördük. [and] askeri eğitim programları,” diyor Bestuzhev.
ABD merkezli sağlık hizmetinin Ukrayna’dan gelen mültecilere yardım sağlamasıyla birlikte, hedeflenen bilgilerin bu programın mültecilerin kim olduğunu belirlemek için nasıl çalıştığını da içerdiğini söylüyor – mültecilerin daha sonraki saldırılar için kullanılabilecek kişisel bilgilerini de içeriyor.
Daha Önce Görmediğiniz Bir RomCom
Ukrayna ordusuna karşı önceki RomCom kampanyaları, kötü amaçlı yazılım dağıtmak için sahte Gelişmiş IP Tarayıcı yazılımı kullandı ve grup ayrıca, SolarWinds Ağ Performans İzleyicisi, KeePass Açık Kaynak dahil olmak üzere popüler yazılım ürünlerinin truva atı olan sürümleriyle İngilizce konuşulan ülkeleri – özellikle İngiltere’yi – hedef aldı. Parola Yöneticisi ve PDF Reader Pro.
Critical Start’ın siber tehdit araştırma kıdemli yöneticisi Callie Guenther, RomCom’un en son kampanyalarda farklı yazılımlar kullanmanın yanı sıra C2 altyapısını yasal ağ trafiğiyle uyum sağlayacak şekilde uyarladığını açıklıyor.
“Bu, genellikle siyasi kampanyalar veya sağlık kuruluşlarıyla ilişkilendirilen iletişim protokollerinin kullanılmasını içerebilir ve bu da onların kötü niyetli faaliyetlerini tespit etmeyi daha zor hale getirir” diyor.
Sosyal medyanın son kampanyaların önemli bir parçası olduğunu ekliyor. “RomCom, hedeflenen bireylere veya kuruluşlara göre hazırlanmış kimlik avı e-postaları, hedefli kimlik avı veya diğer sosyal mühendislik tekniklerini kullanabilir” diye açıklıyor.
Politikacılar için, siyasi meslektaşları veya yetkilileri taklit eden e-posta mesajları oluşturabilirler ve sağlık şirketi söz konusu olduğunda, sağlık hizmetleri düzenleme yetkilileri veya tıbbi ekipman veya yazılım satıcıları gibi davranan e-postalar gönderebilirler.
Guenther, RomCom’un aktif olarak yeni yetenekler ve teknikler geliştirmesinin dikkate değer bir karmaşıklık ve uyarlanabilirlik düzeyine işaret ettiğini söylüyor.
“Bu, taktiklerini geliştirdikçe ve uzlaşma için yeni fırsatlar aradıkça hedef seçimlerinin gelişebileceğini gösteriyor” diyor.
RomCom APT’ye Karşı Nasıl Savunma Yapılır?
Vulcan Cyber’de kıdemli teknik mühendis olan Mike Parkin, ister siber suçlu ister devlet destekli olsun, standart savunma taktiklerinin burada herhangi bir saldırgan için olduğu gibi geçerli olduğunu söylüyor.
“Yamaları güncel tutun. Sektördeki en iyi uygulamaları ve satıcının ‘güvenli kurulum’ önerilerini izleyerek dağıtın” diyor. “Kullanıcıların eğitildiğinden ve onları saldırı yüzeyinin en savunmasız kısmı yerine çözümün bir parçası yapan güvenli bir kültür geliştirdiğinden emin olun.”
Bestuzhev, RomCom’un arkasındaki tehdit aktörünün sosyal mühendislik ve güvene dayandığını söylüyor. Bu nedenle, hedef odaklı kimlik avının nasıl tespit edileceği konusunda çalışan eğitimi de önemlidir.
“İkincisi, sistemlerde, ağ trafiğinde ve dosyalarda RomCom’un operasyonlarını tespit etmek için davranış kuralları gibi bağlamsal, öngörülü ve eyleme geçirilebilir tehdit istihbaratı sağlayan iyi bir siber tehdit istihbarat programına güvenmek önemlidir” diyor. “RomCom ile ilgili bu bağlamda, taktiklere, tekniklere ve prosedürlere (TTP) ve jeopolitik gelişmelere dayalı etkili bir tehdit modellemesi oluşturmak için yer var.”