TA829 Hacker’lar, tespitten kaçınmak için yeni TTP’ler ve gelişmiş Romcom Backdoor kullanıyor


Romcom, void Rabisu ve tropikal Scorpius gibi takma adlar altında da izlenen siber suç grubu TA829, infamous Romcom Backdoor’un güncellenmiş bir versiyonunun yanında, şimdi dublajlı tek snipbot (aka snipbot) ile birlikte sofistike taktikler, teknikler ve prosedürler (TTP’ler) dağıtımı gözlemlenmiştir.

Finansal olarak motive olmuş siber suçları genellikle Rus devlet çıkarlarıyla uyumlu casusluk kampanyalarıyla harmanlamakla bilinen bu grup, 2024 yılı boyunca ve 2025’e kadar operasyonlarında belirgin bir evrim göstermiştir.

Kısa bir durgunluktan sonra Şubat 2025’te artan frekansla devam eden en son faaliyetleri, tespitten kaçınmak için yeraltından suçlu olan otomatik süreçlerin ve altyapının stratejik bir şekilde kullanıldığını ortaya koyuyor.

Siber suç ve casuslukta gelişen taktikler

TA829’un kimlik avı kampanyaları, tehlikeye atılan mikrotik yönlendiriciler ve freemail sağlayıcılar, enfeksiyon zincirlerini başlatmak için parodi onedrive veya Google Drive bağlantıları ile gönderilen düz metin e -postaları ile karakterize.

TA829 izleme sırasında paralel bir keşif, genellikle Morpheus fidye yazılımı enfeksiyonlarında doruğa ulaşan TransferLoader adlı yeni bir yükleyici ve arka kapı kullanan ayrı bir küme olan UNK_GREENSEC’e atfedilen çarpıcı bir şekilde benzer bir kampanyayı ortaya çıkardı.

Romcom Backdoor
UNK_GREENSEC ve TA829 için teslimat ve kurulumu vurgulayan illüstrasyon.

Her iki grup da, e -posta teslimatı için uzlaşmış yönlendiricilerde REM proxy hizmetlerinin kullanımı, iş uygulamaları etrafında benzer cazibe temaları ve araştırmacıları ve kum havuzlarını filtrelemek için karmaşık yeniden yönlendirme zincirleri de dahil olmak üzere üst üste binen TTP’ler sergilemektedir.

Bununla birlikte, hacim, yük dağıtım ve unk_greensec’in gelişmiş filtreleme için CloudFlare kullanımı gibi altyapı olgunluğundaki ayrımlar potansiyel farklılıklar veya paylaşılan bir servis sağlayıcı olduğunu göstermektedir.

Unk_greensec ile örtüşüyor

Slipscreen ve Rustyclaw gibi yükleyicileri içeren TA829’un enfeksiyon zinciri, Windows Registery’yi kalıcılık ve sanal alan kaçırma için ağır bir şekilde kullanıyor, hafif arka kapı operasyonları için DustyHammock’u veya daha karmaşık casusluk görevleri için tekli bir kullanıyor.

Yeni krypters ile düzenli olarak güncellenen ve Rust ve C ++ gibi dillerle yazılan bu araçlar, TA829’un statik algılama mekanizmalarının önünde kalma taahhüdünü göstermektedir.

Romcom Backdoor
Şubat 2025’te TA829 tarafından kullanılan e -posta cazibesi.

Bu arada, casusluk kampanyalarında sıfır gün istismarlarını benimsemeleri olası devlet rehberliğine veya kaynak işbirliğine işaret ediyor.

Rapora göre, Proofpoint’in analizi, paylaşılan altyapı sağlayıcılarından TransferLoader’ın TA829’un Arsenal’i için bir test yatağı olma olasılığına kadar TA829 ve UNK_GREENSEC arasındaki ilişki hakkında ilginç hipotezler doğuruyor.

Siber suçların ve casusluğun operasyonlarındaki yakınsaması, geleneksel atıf çizgilerini bulanıklaştırır ve suçlu ve devlet destekli güdülerin giderek daha fazla kesiştiği tehdit ortamındaki daha geniş bir eğilimi yansıtır.

TA829’un 2025 yılında tipik siber suç kurbanlarının yanı sıra savunma sektörlerini içerecek şekilde genişlediğinden, ShadyHammock kullanımı ve şifreli yükler ve ana bilgisayara özgü anahtarlara sahip gelişmiş teklicamper varyantları, veri hırsızlığı ve fidye takımı konuşlandırması için çift amaçlı bir strateji vurgulamaktadır.

Bu gelişen tehdit, prova noktası her iki kümeyi de birbirine bağlı ekosistemleri ve potansiyel doğrudan bağlantıları hakkında daha fazla bilgi için izlemeye devam ettiği için sürekli izleme gerektirir.

Uzlaşma Göstergeleri (IOCS)

Gösterge TürüÖrnek göstergeBağlamİlk görüldü
Etki alanı (TA829)1drv[.]alanİlk aşama alanıEkim 2024
Etki alanı (TA829)Drivedefend[.]comDustyhammock C2Şubat 2025
Etki alanı (unk_greensec)1drive[.]biyografiİlk aşama alanıŞubat 2025
SHA256 (TA829)54a94c7ec25910478b40fd0e6325d1f5364351e6ce1add79369d6438ed6ed9TekilN/A
SHA256 (unk_greensec)00385cae3630694eb70e2b82d5baa6130c503126c17db3fc63376c7d28c04145AktarıcıŞubat 2025

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin



Source link