Группа вредоносных атак, известная под названием RomCom, вновь активизировалась, используя доверие пользователей к известным брендам для распространения вредоносного ПО. Согласно данным исследования BlackBerry Threat Research and Intelligence Team, злоумышленники маскируют свои атаки под легитимные продукты SolarWinds Network Performance Monitor, KeePass Password Manager и PDF Reader Pro. Целью этих кампаний по-прежнему остаются украинские учреждения, но эксперты отмечают, что в зоне риска могут оказаться и англоязычные страны, включая Великобританию.
Описание
Обнаруженные сетевые артефакты указывают на то, что атаки осуществляются через поддельные версии популярного программного обеспечения. Ранее RomCom уже использовала схожий метод, распространяя вредоносный Advanced IP Scanner среди украинских военных структур. Теперь злоумышленники расширили список имитируемых программ, что увеличивает потенциальную аудиторию жертв.
Особую обеспокоенность экспертов вызывает географическая направленность атак. Анализ условий обслуживания (TOS) двух вредоносных веб-сайтов, а также SSL-сертификатов новосозданного командного центра (C2) указывает на возможное вовлечение англоязычных стран. Это может свидетельствовать о расширении операционного поля хакеров, хотя Украина остается их главной мишенью.
Учитывая текущие геополитические обстоятельства, эксперты склоняются к тому, что за атаками стоит не криминальная, а политически мотивированная группа. Такой вывод подтверждается выбором целей и методами воздействия. Использование поддельных версий легитимного ПО - проверенная тактика, позволяющая обходить стандартные средства защиты, поскольку пользователи часто доверяют знакомым названиям и скачивают вредоносные файлы, не подозревая об угрозе.
BlackBerry предупреждает организации, особенно работающие в сфере обороны и критической инфраструктуры, о необходимости усиления мер кибербезопасности. Рекомендуется проверять источники загружаемого ПО, использовать только официальные сайты разработчиков и внедрять многофакторную аутентификацию для минимизации рисков.
Пока неясно, насколько широко распространились новые кампании RomCom, но их появление говорит о том, что угроза остается актуальной. Власти и компании должны быть готовы к возможным инцидентам, особенно на фоне роста киберугроз, связанных с международной напряженностью. Следует ожидать, что злоумышленники продолжат совершенствовать свои методы, поэтому своевременное обновление систем безопасности и обучение сотрудников основам кибергигиены становятся критически важными мерами.
На данный момент неизвестно, удалось ли RomCom успешно заразить какие-либо системы, но сам факт активности этой группы требует повышенного внимания со стороны как государственных, так и частных организаций. Эксперты продолжают мониторинг ситуации и рекомендуют делиться информацией о подозрительных активностях для своевременного предотвращения масштабных инцидентов.
Индикаторы компрометации
MD5
- 1a21a1e626fd342e794bcc3b06981d2c
- 4e4eca58b896bdb6db260f21edc7760a
- 550f42c5b555893d171285dc8b15b4b5
- 6310a2063687800559ae9d65cff21b0a
- 7c003b4f8b3c0ab0c3f8cb933e93d301
- 8284421bbb94f3c37f94899cdcd19afd
- a7172aef66bb12e1bb40a557bb41e607
- cb933f1c913144a8ca6cfcfd913d6d28
- d1a84706767bfb802632a262912e95a8
SHA256
- 246dfe16a9248d7fb90993f6f28b0ebe87964ffd2dcdb13105096cde025ca614
- 3252965013ec861567510d54a97446610edba5da88648466de6b3145266386d9
- 596eaef93bdcd00a3aedaf6ad6d46db4429eeba61219b7e01b1781ebbf6e321b
- 5f187393acdeb67e76126353c74b6080d3e6ccf28ae580658c670d8b6e4aacc1
- 8b8dff5d30802fd79b76ee1531e7d050184a07570201ef1cd83a7bb8fa627cb0
- 9d3b268416d3fab4322cc916d32e0b2e8fa0de370acd686873d1522306124fd2
- abe9635adbfee2d2fbaea140625c49abe3baa29c44fb53a65a9cda02121583ee
- ac09cbfee4cf89d7b7a755c387e473249684f18aa699eb651d119d19e25bff34
- f7013ce417fcba0f36c4b9bf5f8f6e0e2b14d6ed33ff4d384c892773508e932e
