Grupa RomCom znów atakuje Ukrainę i Polskę
2024-11-19 11:00
Cisco Talos monitoruje działania Grupy RomCom © fot. mat. prasowe
Cisco Talos zwraca uwagę na nową falę ataków wymierzonych w instytucje w Polsce i Ukrainie przeprowadzanych przez rosyjskojęzyczną grupę UAT-5647, znaną również jako RomCom.
Przeczytaj także: Na celowniku ransomware głównie przemysł i edukacja
Cyberataki przeprowadzane przez RomCom polegają na wprowadzeniu złośliwego oprogramowania bezpośrednio do pamięci komputera, co utrudnia jego wykrycie przez oprogramowanie zabezpieczające i zwiększa szansę na długotrwałe pozostanie w systemie ofiary.Celem tych działań jest uzyskanie długoterminowego dostępu do danych oraz ich kradzież, co może prowadzić do poważnych konsekwencji dla bezpieczeństwa narodowego i stabilności instytucji w regionie. W obliczu tego rosnącego zagrożenia, kluczowe jest, aby organizacje podejmowały odpowiednie kroki w celu ochrony swoich danych i infrastruktury.
Łańcuch infekcji
Łańcuch infekcji UAT-5647 rozpoczyna się od wiadomości spear-phishing, czyli spersonalizowanej wiadomości e-mail, która zawiera złośliwy załącznik lub link. Po jego otwarciu zainstalowane zostaje złośliwe oprogramowanie (downloader), które przygotowuje grunt pod dalszą infekcję i zapewnia trwały dostęp do systemu.
Następnie uruchamiane są dwa backdoory - DustyHammock i ShadyHammock, czyli złośliwe programy lub ukryte mechanizmy w oprogramowaniu, które umożliwiają atakującym nieautoryzowany dostęp do systemu, zwykle bez wiedzy użytkownika. DustyHammock to podstawowy komponent, który komunikuje się z serwerem atakujących i wykonuje ich polecenia. ShadyHammock pełni bardziej skomplikowaną rolę – aktywuje dodatkowe złośliwe oprogramowanie (SingleCamper) i może odbierać polecenia od innych złośliwych narzędzi, co daje atakującym większe możliwości kontrolowania zainfekowanego systemu.
fot. mat. prasowe
Cisco Talos monitoruje działania Grupy RomCom
Strategia cyberataków
Cisco Talos ocenia, że obecne działania UAT-5647 służą dwutorowej strategii – grupa dąży do uzyskania długoterminowego dostępu do systemów w celu eksfiltracji danych o znaczeniu strategicznym, a w późniejszym etapie może wdrażać oprogramowanie ransomware, dla korzyści finansowych i zakłócenia działań zaatakowanych systemów.
Warto zwrócić uwagę na to, że grupa stosuje coraz bardziej zaawansowane techniki, używając różnych języków programowania, takich jak GoLang, C++, RUST i LUA, co potwierdzają także ostatnie raporty CERT-UA.
Po naruszeniu sieci, UAT-5647 przeprowadza wstępne rozpoznanie (mapowanie sieci) i pobiera narzędzie Plink (część PuTTY), aby ustanowić zdalne tunele między zainfekowanymi punktami końcowymi a serwerami kontrolowanymi przez atakujących. Jest to dość powszechna technika, jednakże w jednym z przypadków skonfigurowano tunel do wewnętrznego portu administracyjnego urządzenia brzegowego. Dzięki temu atakujący mogą uzyskać dostęp do systemu administracyjnego zdalnie, co daje im możliwość dalszych działań, takich jak monitorowanie lub kradzież danych z wewnętrznej infrastruktury.
Znaczenie cyberobrony
Ataki RomCom stanowią poważne zagrożenie zarówno dla instytucji ukraińskich, jak i polskich. Grupa agresywnie rozszerza swoje możliwości techniczne oraz infrastrukturę, co utrudnia obronę przed jej atakami. Grupa Cisco Talos zaleca wdrażanie zaawansowanych środków ochrony sieci oraz monitorowanie podejrzanych aktywności, aby zminimalizować ryzyko cyberataków na kluczowe instytucje w regionie.
Przeczytaj także:
Edukacja pod ostrzałem cyberprzestępców
oprac. : eGospodarka.pl
Więcej na ten temat:
RomCom, UAT-5647, cyberprzestępcy, cyberataki, ataki hakerskie, ataki hakerów, cyberzagrożenia, złośliwe oprogramowanie, spear-phishing, phishing
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)