Deceptive Prospect kampány

Editors' Pick

A Bridewell jelentése szerint a Deceptive Prospect nevű kampány során a RomCom nevű, orosz kötődésű APT-csoport célzott adathalász támadásokat hajtott végre az Egyesült Királyságban működő szervezetek ellen. A támadók külső ügyfél-visszajelzési portálokat használtak arra, hogy meggyőző panaszokat nyújtsanak be, például elveszett poggyászról vagy toborzási kérdésekről, és ezekhez mellékelték a támadó által vezérelt infrastruktúrán tárolt, legitimnek tűnő dokumentumokra mutató hivatkozásokat. ​

A támadók által használt e-mail címek gyakran a következő mintákat követték: “[a-z]+\​.[a-z]+[0-9]{6}@yahoo.com” vagy “[a-z]{6,}[0-9]{6}@yahoo.com”, és a panaszokban szereplő linkek olyan fájlokra mutattak, amelyek valójában rosszindulatú letöltőprogramokat tartalmaztak, gyakran PDF-nek álcázva, és valószínűleg ellopott vagy kompromittált kódaláíró tanúsítvánnyal voltak aláírva.  

A RomCom csoport, más néven Storm-0978Tropical ScorpiusUNC2596Void Rabisu vagy UAC-0180, 2022 óta aktív, és főként kormányzati és katonai szervezeteket céloz, különös tekintettel az ukrán ügyekre és a NATO-hoz kapcsolódó szervezetekre. A csoport korábban is kihasznált nulla napos sebezhetőségeket, például a Microsoft Word CVE-2023-36884 hibáját, valamint a Mozilla Firefox és a Windows kombinált sebezhetőségeit, hogy felhasználói interakció nélkül telepítsék a RomCom hátsó ajtót.

A Deceptive Prospect kampány különösen aggasztó, mivel a támadók a szervezetek ügyfélszolgálati csatornáit használják ki, amelyek általában kevésbé védettek az ilyen típusú támadásokkal szemben. A támadások során alkalmazott technikák, mint például a többlépcsős átirányítás és a legitimnek tűnő dokumentumok használata, megnehezítik a rosszindulatú tevékenységek észlelését.​

A védekezés érdekében a szervezeteknek javasolt az ügyfél-visszajelzési portálok biztonságának megerősítése, a beérkező panaszok alapos ellenőrzése, valamint a gyanús linkek és mellékletek automatikus szűrése. Emellett fontos a munkavállalók oktatása a hasonló adathalász technikák felismerésére és jelentésére.​

FORRÁS