RomCom fejlődése
Az AttackIQ Adversary Research Team jelentése a RomCom nevű Remote Access Trojan (RAT) fejlődését, működését és operatív ökoszisztémáját tárja fel. A tanulmány szerint a RomCom 2022 óta fejlődött öt egymást követő verzión át, egyre modulárisabbá és kémműveletekre optimalizált eszközzé válva, kezdetben egyszerű környezeti felmérést végzett, majd memóriában futó, registry-alapú és named-pipe kommunikációt alkalmazó komponensekkel bővült, végül pedig kifinomult elrejtési és titkosítási technikákat használó, 42 parancsot támogató platformmá alakult. A végrehajtás gyakori vektorai között szerepel a COM-hijacking és a trojanizált MSI/EXE telepítők alkalmazása; az operátorok álcázott, aláírt letöltőket és módosított telepítőcsomagokat juttatnak be, hogy a hagyományos védelmi rétegeket kijátsszák.
A riport kiemeli, hogy a RomCom nemcsak politikai célú kémtevékenységre szolgál — célzottan ukrán és NATO-hoz kötődő szervezeteket, kormányzatokat, humanitárius és egészségügyi szereplőket érint —, hanem üzleti motivációkkal is összekapcsolódik: a kommunikációs és telepítési lábak gyakran interoperálnak olyan ransomware-csoportokkal, mint az Industrial Spy, Cuba és az ő utódja, az Underground, így a kémkedés és az adatzsarolás közös infrastruktúrát használ. A kutatók több forrás egymásra épülő darabjait kapcsolták össze, rekonstruálva a RomCom-operátor geopolitikai orientációját és a támadások idővonalát.
Műszaki oldalról a riport részletesen ismerteti a stager-loader-worker architektúrát, az exfiltrációs csatornákat, a persistencia módjait és az eváziós trükköket, továbbá felhívja a figyelmet arra, hogy a RomCom mint szolgáltatásként is működő „commodity” lehetővé teszi a különböző motivációjú szereplők számára a gyors telepítést és a kettős célzás (kémkedés + profit) végrehajtását. Az AttackIQ emulációs készleteket is publikált, hogy védelmi csapatok leellenőrizhessék és megerősíthessék detekciós és reagálási kapacitásaikat RomCom-szerű támadások ellen. Összességében a riport azt a következtetést erősíti meg: a RomCom az eCrime-ból kinőtt, de állami célokra is használt eszközosztállyá alakult át, ami újabb példája a politikai és pénzügyi célú kiberműveletek konvergenciájának.
