Kibernetički prostor suočava se s obnovljenom prijetnjom jer je TA829, sofisticirana skupina aktera prijetnje, izašla s poboljšanim taktikama, tehnikama i procedurama (TTP-ovima) uz nadograđenu verziju zloglasnih RomCom dubinskih vrata.
Ova hibridna skupina kibernetičkih kriminalaca i špijunaže pokazala je izvanrednu prilagodljivost, provodeći i financijski motivirane napade i špijunažne operacije usklađene s državama, posebno nakon invazije na Ukrajinu.
Jedinstveni položaj te skupine u ekosustavu prijetnji predstavlja zabrinjavajuću evoluciju u modernom kibernetičkom ratovanju, gdje se tradicionalne granice između kibernetičkog kriminala i špijunaže sve više zamagljuju.
Metodologija napada TA829 usredotočena je na visoko ciljane *phishing* kampanje koje iskorištavaju kompromitirane MikroTik usmjerivače koji djeluju kao REM Proxy usluge.
Ti kompromitirani uređaji, koji obično hostiraju SSH usluge na portu 51922, služe kao infrastrukturni relej za prosljeđivanje zlonamjernog prometa putem novostvorenih računa kod pružatelja besplatnih usluga e-pošte.
E-poštne kampanje te skupine sadrže poruke u običnom tekstu s generičkim temama potrage za poslom ili pritužbi, a svaka sadrži jedinstvene poveznice koje ciljeve usmjeravaju kroz složene lance preusmjeravanja prije isporuke zlonamjernog tereta.
Arsenal te skupine uključuje nekoliko sofisticiranih varijanti zlonamjernog softvera, pri čemu se nadograđena RomCom dubinska vrata sada manifestiraju kao SingleCamper i DustyHammock.
Istraživači Proofpointa identificirali su ove varijante kao dio redovito ažuriranog skupa alata TA829, primjećujući njihovu integraciju u jedinstveni sustav upravljanja infekcijama.
Zlonamjerni softver demonstrira napredne mogućnosti izbjegavanja putem operacija temeljenih na registru i sofisticiranih tehnika protiv analize.
Nakon početne infekcije putem *phishing* e-pošte koja oponaša sučelja OneDrive ili Google Drive, žrtve nesvjesno preuzimaju SlipScreen pokretač, koji služi kao prva faza lanca infekcije.
Ovaj pokretač, često potpisan lažnim potvrdama i prerušen s ikonama PDF čitača, implementira višestruke mehanizme za izbjegavanje otkrivanja.
Zlonamjerni softver izvodi kritičke provjere registra kako bi osigurao da ciljani sustav sadrži najmanje 55 nedavnih dokumenata, učinkovito izbjegavajući sandbox okruženja koja obično nemaju takve tragove korisničke aktivnosti.
Najznačajnija evolucija u nadograđenim RomCom dubinskim vratima TA829 leži u njezinu sofisticiranom mehanizmu postojanosti temeljenom na registru.
SlipScreen pokretač dešifrira i izvršava shellcode izravno unutar svog memorijskog prostora, inicirajući komunikaciju sa serverima za zapovijedanje i kontrolu tek nakon uspješne provjere okoline.
Nakon provjere, sustav preuzima dodatne komponente, uključujući RustyClaw ili MeltingClaw pokretače, koji uspostavljaju postojanost putem tehnika COM otmice.
Mehanizam postojanosti uključuje manipulaciju određenim ključevima registra kao što je `SOFTWARE\Classes\CLSID\{2155fee3-2419-4373-b102-6843707eb41f}\InprocServer32`, omogućavajući zlonamjernom softveru da preživi ponovno pokretanje sustava izvršavanjem tijekom ponovnog pokretanja explorer.exe.
Ova tehnika učinkovito ugrađuje zlonamjerni softver duboko u temeljne procese operacijskog sustava Windows, čineći otkrivanje i uklanjanje znatno težim za tradicionalna sigurnosna rješenja.
Pristup temeljen na registru također omogućuje zlonamjernom softveru da pohranjuje šifrirane terete na više lokacija u registru, dodatno komplicirajući napore forenzičke analize.
Post na Cyber Security News iznosi važno upozorenje o novim taktikama i poboljšanim RomCom dubinskim vratima koje koristi skupina TA829 kako bi izbjegla otkrivanje. TA829, poznat po svojoj hibridnoj prirodi koja spaja kibernetički kriminal s državnim špijunažom, posebno nakon događaja u Ukrajini, razvio je napredne metode napada. Njihova strategija uključuje ciljane *phishing* kampanje koje koriste kompromitirane MikroTik usmjerivače kao REM Proxy usluge, s ciljem preusmjeravanja zlonamjernog prometa putem novih računa kod pružatelja besplatnih usluga e-pošte. Poruke e-pošte su obično jednostavnog formata, s općim temama, ali sadrže jedinstvene poveznice koje vode žrtve kroz složene lance preusmjeravanja do isporuke zlonamjernog tereta. Ključni element njihovog arsenala je nadograđena RomCom dubinska vrata, koja se pojavljuje kao SingleCamper i DustyHammock. Dokazano je da te varijante koriste napredne tehnike izbjegavanja, uključujući operacije temeljene na registru i sofisticirane metode protiv analize. Početna infekcija često se događa putem e-pošte koja oponaša sučelja kao što su OneDrive ili Google Drive, potičući žrtve da preuzmu SlipScreen pokretač. Ovaj pokretač, često s lažnim potvrdama i prerušen s ikonama PDF čitača, sadrži višestruke mehanizme za izbjegavanje otkrivanja. Posebno, zlonamjerni softver provjerava prisutnost najmanje 55 nedavnih dokumenata na sustavu, kako bi se izbjegla okruženja za analizu koja obično nemaju takve pokazatelje korisničke aktivnosti. Ključna inovacija TA829 je njihov sofisticirani mehanizam postojanosti temeljen na registru u ažuriranim RomCom dubinskim vratima. SlipScreen pokretač dešifrira i izvršava zlonamjerni kod u memoriji tek nakon uspješne provjere okoline. Nakon toga, preuzimaju se dodatne komponente poput RustyClaw ili MeltingClaw pokretača, koji osiguravaju postojanost manipuliranjem specifičnim ključevima registra, kao što je `SOFTWARE\Classes\CLSID\{2155fee3-2419-4373-b102-6843707eb41f}\InprocServer32`. To omogućuje zlonamjernom softveru da preživi ponovno pokretanje sustava integrirajući se u procese poput explorer.exe, čime se otežava otkrivanje i uklanjanje. Ova tehnika također doprinosi pohranjivanju šifriranih tereta na više lokacija u registru, što dodatno otežava forenzičku analizu.
