Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Wydania
  3. Artykuł
Powrót

Nowa era cyberataków w Polsce i na Ukrainie. Grupa RomCom

02 grudzień 2024

Nowa era cyberataków w Polsce i na Ukrainie. Grupa RomCom
Cisco Talos

Cisco Talos

Mijający rok przyniósł kolejną eskalację cyberzagrożeń, a na celowniku rosyjskojęzycznej grupy UAT-5647, znanej jako RomCom, znalazły się Polska i Ukraina. Zaawansowane techniki, takie jak wstrzykiwanie złośliwego oprogramowania do pamięci operacyjnej, oraz sprytne metody infekcji, takie jak spear-phishing, postawiły przed instytucjami nowe wyzwania w walce o bezpieczeństwo. Czy i jakie konsekwencje mogą mieć te działania dla stabilności regionu?  

Sposób działania grupy RomCom

Grupa RomCom stosuje coraz bardziej wyrafinowane metody, aby uniknąć wykrycia i zapewnić sobie długotrwały dostęp do systemów ofiar. Jedną z najnowszych technik jest załadowanie złośliwego oprogramowania bezpośrednio do pamięci operacyjnej komputera, co sprawia, że tradycyjne systemy wykrywania zagrożeń stają się mniej skuteczne.

Dzięki tej metodzie atakujący mogą minimalizować ślady swojej działalności, co umożliwia im długotrwałe utrzymanie dostępu do zaatakowanego systemu.

Celem grupy jest zdobycie dostępu do danych o znaczeniu strategicznym, które mogą mieć poważne konsekwencje dla bezpieczeństwa narodowego oraz stabilności instytucji na poziomie krajowym. W dłuższej perspektywie, po przejęciu systemów, grupa może wdrożyć oprogramowanie ransomware, którego celem jest zarówno uzyskanie korzyści finansowych, jak i zakłócenie funkcjonowania kluczowych instytucji.

Etapy ataku – jak RomCom przejmuje kontrolę nad systemami

Ataki rozpoczynają się zwykle od kampanii spear-phishingowej, która polega na wysyłaniu spersonalizowanych e-maili z złośliwymi załącznikami lub linkami. Po otwarciu załącznika lub kliknięciu w link, w systemie ofiary zostaje zainstalowane oprogramowanie downloader, które ma na celu przygotowanie środowiska do dalszych infekcji.

Downloader ten jest odpowiedzialny za umożliwienie atakującym pełnej kontroli nad systemem, tworząc trwały dostęp do urządzeń ofiary.

Następnie uruchamiane są mechanizmy backdoor, takie jak DustyHammock i ShadyHammock, które pozwalają atakującym na zdalny dostęp do zainfekowanego systemu. DustyHammock jest pierwszym i podstawowym komponentem, który komunikuje się z serwerem kontrolowanym przez atakujących, przekazując polecenia, które mogą zmieniać konfigurację systemu. ShadyHammock pełni bardziej skomplikowaną rolę, uruchamiając dodatkowe złośliwe oprogramowanie, takie jak SingleCamper, i umożliwiając atakującym dalszą kontrolę nad zainfekowanym środowiskiem.

Rozwój strategii cyberataków RomCom

RomCom nie ogranicza się jedynie do krótkoterminowych ataków. Grupa realizuje długoterminową strategię, której celem jest zdobycie nie tylko danych o strategicznym znaczeniu, ale także całkowite przejęcie kontroli nad systemami ofiar. Grupa posługuje się zaawansowanymi technikami i narzędziami, w tym GoLang, C++, RUST i LUA, które pozwalają na tworzenie bardziej złożonych i trudniejszych do wykrycia infekcji.

Po przejęciu kontroli nad systemem, grupa przeprowadza wstępne rozpoznanie (mapowanie sieci) oraz instaluje narzędzie Plink (część PuTTY), umożliwiające tworzenie zdalnych tuneli między urządzeniami końcowymi a serwerami kontrolowanymi przez atakujących. W jednym z przypadków udało się skonfigurować tunel do wewnętrznego portu administracyjnego urządzenia brzegowego, co pozwoliło atakującym na dostęp do systemu administracyjnego organizacji. Dzięki temu, cyberprzestępcy mogą monitorować aktywność w systemie, kradzież danych lub wprowadzenie dalszych złośliwych komponentów.

Zalecenia Cisco Talos – jak chronić się przed atakami?

Ataki grupy RomCom stanowią poważne zagrożenie, zwłaszcza w kontekście instytucji publicznych i sektora prywatnego, które zajmują się przetwarzaniem danych o kluczowym znaczeniu dla bezpieczeństwa narodowego. Grupa stale rozwija swoje zdolności techniczne i infrastrukturę, co sprawia, że trudniej jest zidentyfikować jej działania i skutecznie je powstrzymać. Z tego względu organizacje powinny podjąć kroki w celu wzmocnienia swoich zabezpieczeń.

W najnowszym raporcie Cisco Talos za 3 kwartał 2024 roku, firma zauważa, że wiele ataków mogło zostać unikniętych, gdyby organizacje zastosowały podstawowe zasady bezpieczeństwa, takie jak MFA. 40% incydentów naruszenia bezpieczeństwa wynikały z nieprawidłowo skonfigurowanego MFA, jego braku lub celowego pomijania. Dodatkowo, w ponad 20% przypadków związanych z ransomware, MFA nie było włączone na urządzeniach VPN.

Wciąż występuje również problem z wykrywaniem i reagowaniem na zagrożenia na urządzeniach końcowych. Ponad 30% incydentów związanych z niewłaściwym działaniem systemów EDR, takich jak ich brak lub błędna konfiguracja, mogło zostać zminimalizowanych, gdyby odpowiednie zabezpieczenia były lepiej zarządzane.

Cisco Talos podkreśla, że jednym z największych zagrożeń są ataki na tożsamość, zwłaszcza w branżach takich jak edukacja, produkcja przemysłowa czy usługi finansowe.

Regularne monitorowanie systemów, aktualizowanie zabezpieczeń oraz stosowanie zaawansowanych rozwiązań ochrony to kluczowe elementy w zapobieganiu takim atakom. Tylko w ten sposób można skutecznie stawić czoła coraz bardziej złożonym i wyrafinowanym zagrożeniom w cyberprzestrzeni.

Oceń artykuł

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności