BlackBerry ve Palo Alto Networks’teki araştırmacılara göre, Veeam, SolarWinds, KeePass ve PDF Technologies’den popüler iş uygulamalarının web siteleri, RomCom uzaktan erişim truva atını (RAT) yaymak için bir tehdit aktörü tarafından kandırılıyor.
Bu raporlar, yalnızca BT personeline değil, aynı zamanda kuruluşların tüm çalışanlarına, web sitelerinden onay almadan veya sitenin URL’sini dikkatlice kontrol etmeden uygulama indirmenin tehlikeleri konusunda uyarılar olarak görülmelidir.
RomCom RAT’ın arkasındakiler hakkında pek bir şey bilinmiyor. BlackBerry ilk önce onlar hakkında yazdı geçen ayın sonlarında, yaz boyunca Advanced IP Scanner’ın güvenliği ihlal edilmiş bir sürümünü ve ardından saldırıya uğramış bir PDF Filer sürümünü dağıttıktan sonra. Ardından BlackBerry, grubun Ukrayna askeri kurumlarını hedef aldığını belirtti.
En son raporundaBlackBerry, Ukrayna’nın hala birincil hedef olarak göründüğünü, ancak İngiltere de dahil olmak üzere İngilizce konuşulan bazı ülkelerin de hedef alındığını düşünüyor.
Bu rapor, RomCom’un SolarWinds Ağ Performansı İzleyicisi, KeePass Açık Kaynak Şifre Yöneticisi ve PDF Reader Pro’nun uzaktan erişim truva atı tehlikede olan sürümlerini yaymaya çalıştığını söylüyor. Bu raporun yayınlanmasının ardından Palo Alto Networks tweetlendi RomCom ayrıca Veeam Software’in Yedekleme için Veeam Availability Suite’inin sahte bir sürümünün dağıtımı için sahte bir sayfa oluşturdu.
Tehdit aktörünün kampanyaları basittir: Şirketlerin orijinal yasal HTML kodunu kazıyarak, kuruluşların kullanabileceği marka adı yazılım sağlayıcıları için neredeyse aynı web sitelerinin oluşturulması. Çete, kurbanların deneme sürümlerini indirmesini veya uygulamalar için ödeme yapmasını umuyor. İndirdikleri şey virüslü yazılımdır.
BlackBerry raporu, kurbanların sitelere nasıl çekildiğini söylemiyor – tehdit aktörünün potansiyel kurbanlara kimlik avı yemleri gönderip göndermediği veya sadece sahte siteleri orada bırakıp keşfedilmelerini umarak.
Keskin gözleri olanlar için ipucu URL’lerdir. Sahte Veeam web sitesi, örneğin “wveeam”dir. Sahte KeePass web sitesi “keepas”tır.
Bu gerçek bir KeePass sitesinin ekran görüntüsüdür…
… ve bu sahte site (Görüntüler BlackBerry).
Yalnızca bir uygulama indirildikten sonra bulunabilecek olsa da başka bir ipucu daha var: Doğrulama sertifikası şüpheli bir şirkete ait. Örneğin, SolarWinds dosyası, “Wechapaisch Consulting & Construction Limited”den bir dijital sertifika içerir. Yasal dosya, “SolarWinds Worldwide, LLC” tarafından dijital olarak imzalanmıştır.
Şema daha da ileri gidiyor. BlackBerry, sahte SolarWinds sitesinden ücretsiz deneme sürümünü indirirken meşru bir kayıt formunun görüntülendiğini belirtiyor. Doldurulursa, gerçek SolarWinds satış personeli, ürün denemesini takip etmek için kurbanla iletişime geçebilir. Bu teknik, kurbanı, yakın zamanda indirilen ve yüklenen uygulamanın tamamen meşru olduğuna inandırır. Bunun yerine, kurban bilmeden kötü niyetli uzaktan erişim truva atı için bir damlalık da indirmiştir.
BlackBerry raporu, RAT için uzlaşma göstergelerini içerir.
Kaynak : https://www.itworldcanada.com/article/romcom-rat-found-in-applications-from-spoofed-veeam-solarwinds-and-keepass-websites/511672