RomCom 威胁组利用远程访问木马进行攻击

重点摘要

根据研究人员的报告，RomCom 威胁组正在利用远程访问木马RAT进行新一轮的攻击，这些攻击通过知名品牌如 SolarWinds、KeePass 以及 PDF Technologies 进行伪装。

在一篇 博客 中，BlackBerry 的研究人员指出，尽管 RomCom 主要针对乌克兰，但他们怀疑一些英语国家，包括英国，也成为了攻击对象。

鉴于这些目标的地理位置以及当前的地缘政治局势，BlackBerry 的研究人员认为，RomCom 的行为不太可能完全是出于网络犯罪动机。

Vulcan Cyber 的高级技术工程师迈克帕金Mike Parkin表示，考虑到这些目标和攻击的性质，背后很可能有国家层面的参与。

“从本质上看，这是一场针对人类目标的攻击，”帕金说。“他们主要依赖欺骗受害者通过电子邮件访问伪装成合法网站的恶意页面。这使得用户成为了第一道防线，也是主要的攻击目标。”

RomCom 的攻击与我们在疫情期间调查的一些攻击非常相似，当时我们发现有许多厂商产品支持工具被模仿或注入恶意软件，Coalfire 的副总裁安德鲁巴拉特Andrew Barratt表示。

巴拉特指出：“‘包装’意味着底层的合法工具仍然被部署，但在这个部署过程中，某些恶意软件被放入目标环境中。”他补充道：“大型 APT 组织如 FIN7 过去曾使用过这些战术。利用他们可能已识别出的流行品牌，可以大大提高用户误导性响应的可能性。”

通过这种手法，RomCom 威胁组能够在不被察觉的情况下渗透目标系统，造成潜在的安全威胁。