Im letzten September hat Arctic Wolf Labs, das Threat-Research-Team von Arctic Wolf, das von den Romcom-Angreifern über Socgholish (betrieben von TA569) ins Visier genommen wurde. Während zunächst die typische Socgholish-Infektionskette erfolgte, wurde etwa zehn Minuten nach der Ausnutzung der gezielte Mythic-Agent-Loader von Romcom auf das System übertragen. Dies ist das erste Mal, dass eine Romcom-Payload beobachtet wurde, die über Socgholish verbreitet wurde.
Basierend auf den während dieser Untersuchung aufgedeckten Beweisen kommt Arctic Wolf Labs mit mittlerer bis hoher Sicherheit zu dem Schluss, dass die russische GRU-Einheit 29155 Socgholish nutzt, um Opfer anzugreifen. GRU ist Russlands größter Auslandsgeheimdienst, und die Einheit 29155 üblicherweise mit offensiven Computernetzwerkoperationen gegen globale Einrichtungen beauftragt. Seit Anfang 2022 liegt der Schwerpunkt der Einheit 29155 auf der Störung internationaler Hilfsmaßnahmen für die Ukraine.
Das Ziel des in diesem Beitrag analysierten Falls, steht nur in einem losen Zusammenhang mit der Unterstützung der Ukraine. Dies unterstreicht, dass Romcom grundsätzlich alle Personen und Organisationen angreift, die mit der Ukraine in Verbindung stehen, unabhängig von ihrem geografischen Standort.
Wichtige Erkenntnisse im Überblick:
- Bedrohungsakteur: TA569 gilt als primärer Akteur, der Socgholish einsetzt. Der Betreiber fungiert als Initial-Access-Broker (IAB) und verkauft den Zugriff auf kompromittierte Systeme an Ransomware-Partner.
- Ansatz: Die Cyberkriminellen kompromittieren legitime Websites und verwenden gefälschte Updates, um Malware zu verbreiten.
- Vorgehen: Auf dem Host des Opfers wird bösartiges Javascript ausgeführt, das Loader installiert, die zusätzliche Payloads abrufen und den Zugriff aufrechterhalten.
- Weiterführende Information: Infektionen stehen häufig im Zusammenhang mit dem Einsatz von Ransomware.
Info: Weitere Details zum Thema finden sich hier im Arctic Wolf-Blog: https://arcticwolf.com/resources/blog/romcom-utilizing-socgholish-to-deliver-mythic-agent-to-usa-companies-supporting-ukraine/
#ArcticWolf
