カジノサイト
見る価値のあるロマコメ: 脅威アクターの最新のターゲット
東ヨーロッパでウクライナ軍とロシア軍の間の紛争が激化するにつれ、世界は軍事物資の提供を通じてウクライナの地上であれ、紛争から逃れてきた人々に提供される医療を通じてウクライナの領土であれ、どちらかの側への支援によってますます二極化しつつある。
観察に基づく、RomCom の背後にいる攻撃者はウクライナ戦争を巡る地政学的な出来事を注意深く追跡しており、軍、食品サプライチェーン、IT企業をターゲットにしている。
脅威アクターの活動を調査中
私たちが最初に RomCom 脅威グループを観察したとき、それは政府機関のみをターゲットにしているように見え、焦点を当てていました。私たちのチームがこれまで知られていなかったこの攻撃者について調査を続けるうちに、RomCom がブラジル、フィリピン、米国の IT 企業、食品仲介業者、製造業者をターゲットにしたキャンペーンを開始したことを発見しました。かつても、そして今も、世界中でさらなる攻撃を仕掛けるための新しいサイバー兵器を開発中です。
2022 年、RomCom は のブランド力を利用して一連の新たな攻撃キャンペーンを実施しました。。私たちのチームは、RomCom RAT に関するレポート中に発見されたネットワーク アーティファクトを分析する際に、これらのキャンペーンを発見しました。RomCom RAT は、Advanced IP Scanner と呼ばれる正規の無料ネットワーク スキャナのなりすましバージョンを介して、ウクライナの軍事機関を標的としたキャンペーンに使用されました。 2023 年 3 月中旬、RomCom RAT の背後にいるオペレーターの追跡に関連するテレメトリの増加に気づきました。
これは財政的な動機ではなく、地政学的な議題に従っていることがわかっています。
RomCom の最新のキャンペーンでは、西側諸国や米国に拠点を置く医療会社と緊密に連携しているウクライナの政治家を攻撃者がターゲットにしていることがわかりましたウクライナから逃れ、米国で医療支援を受けている難民の皆様へ
今日、ウクライナがロムコムの主な標的となっているようだが、おそらくウクライナとウクライナ難民への支援のため、英国を含む英語圏の一部の国も標的にされていることがわかった。これは、2 つの悪意のある Web サイトの利用規約 (TOS) の分析に基づいています。新しく作成された) 脅威アクターによって実行されます。また、社内のテレメトリでもこれを確認しました。
RomCom が他のものと違う理由
RomCom が最初に発見されたとき、業界によって誤って金銭目的の脅威グループとして分類されました。しかし、最初の追跡以来、現在ではそれが財政的な動機ではなく、地政学的な議題に従っていることが理解されています。このグループの背後に誰がいるのかはまだ不明であり、既存の国民国家との明確なつながりもありません。
RomCom の脅威アクターが、BlackBerry によって公開された調査を含め、自身に関する業界調査を注意深く監視していると信じる理由があります。
たとえば、2023 年 8 月に Black Hat USA で BlackBerry が RomCom に関するプレゼンテーションを行う直前に、同グループは主要なホストの 1 つを切り替えました。同グループは、他の研究者がその活動に踏み込むのを防ぐために、迅速な防御措置を講じている。 RomCom はまた、継続的に運用を改善し、攻撃の複雑さを増しています。
ソーシャル エンジニアリングと信頼への依存
RomCom RAT の背後にある攻撃者が、意図した被害者をターゲットにするために特別に作成されたコンテンツによるスピア フィッシングを使用していることを確認しました。これらのほとんどフィッシングメール受信者にリンクをクリックさせることで、事前に作成され、正規の Web サイトを装った悪意のある URL に誘導されます。悪意のある URL の Web サイトは、被害者が使用していることで知られる人気のあるソフトウェア会社を模倣しています。 以前のキャンペーンでは、RomCom がシステム/ネットワーク管理およびドキュメント リーダー用のソフトウェアを提供するブランドを悪用しているのが見られました。
脅威アクターは、被害者に関する特別に厳選された情報に依存しています。
RomCom は、タイポスクワッティングという悪意のある手法をよく使用します。この手法では、脅威アクターは、実際のドメインに似ているがサフィックスが異なるドメインを登録します。たとえば、リトアニアのビリニュスで 7 月に開催される NATO サミットの潜在的な参加者をターゲットにした最近のキャンペーンでは、偽のドメインが登録されました。ウクライナ世界会議[.]情報、 の実際のドメインを模倣していますウクライナ世界会議[.]org.
最近のキャンペーンでは、RomCom 脅威アクターは、ウクライナの政治家が知っているより個人的な政治コンテンツに依存していました。言い換えれば、脅威アクターは、被害者が使用するソフトウェア、使用方法、取り組んでいる社会/政治的プログラムなど、被害者に関する特別に厳選された情報に依存しています。これは、攻撃者が意図したターゲット組織だけでなく、その組織と関係がある可能性のある主要な個人も注意深く調査していることを意味します。
それぞれのキャンペーンは異なるターゲットを狙っていますが、RomCom 脅威グループの動機は金銭的利益ではないと言っても過言ではありません。たとえば、部隊の位置、防御および攻撃の計画、兵器、軍事訓練プログラムなどの軍事機密を標的としたロムコムを観察しました。
最新のターゲットについて——ロムコムが収集したい情報は、その援助プログラムがどのように機能するか、そして難民が誰であるか、個人情報を含め、さらなる地政学的な目標に使用できるようです。
RomCom の背後にいる攻撃者は、ソーシャル エンジニアリングと信頼を利用して潜在的な被害者をターゲットにしています。
したがって、最初に学ぶべきことは、スピア フィッシングの試みにフラグを立てて軽減するための効果的な戦略を構築する方法です。第二に、良いものに頼ることが重要です次のような行動ルールを含む、状況に応じた予測的で実用的な脅威インテリジェンスの提供システム、ネットワーク トラフィック、ファイルにおける RomCom の潜在的な存在を検出するため。
この状況を念頭に置くと、戦術、技術、手順 (TTP) や RomCom などの脅威アクターの地政学的展開に基づいて効果的な脅威モデリングを構築する余地が十分にあります。
BlackBerry のシニア サイバー脅威インテリジェンス ディレクターである Dmitry Bestuzhev は、大規模なサイバー インシデント、スパイ活動、およびサイバー犯罪を目的としたキャンペーンの追跡を担当しています。 BlackBerry に入社する前、Bestuzhev は、ラテンアメリカのグローバル調査分析チームを監督し、マルウェア対策と金銭目的の攻撃に関する脅威インテリジェンスの調査を担当していました。彼はサイバーセキュリティのさまざまな分野で 20 年以上の経験があります。
