romcom-group - RunkIntel

# RomCom > [!danger] APT Russo — Espionagem + Ransomware > **RomCom** (Storm-0978) é um grupo russo que combina espionagem patrocinada por estado com operações de ransomware e extorsão. Explorou zero-days no Firefox e Windows (2023) para comprometer alvos governamentais na Europa e Ucrânia, além de operar o ransomware **UNDERGROUND**. ## Visão Geral RomCom é um grupo de ameaça russo notável por combinar dois vetores aparentemente distintos: espionagem geopolítica direcionada (contra governo ucraniano, OTAN, defesa europeia) e operações criminosas de ransomware (UNDERGROUND ransomware). Esse perfil dual — motivação estatal e financeira — é cada vez mais comum entre grupos russos. Em outubro de 2023, o grupo explorou uma cadeia de zero-days crítica: CVE-2023-36884 (Firefox zero-day) encadeado com CVE-2023-36884 (Windows zero-day), ambos sem interação do usuário. A campanha direcionou-se a participantes da cúpula de lideranças da OTAN em Vilnius e a representantes de entidades de defesa europeias. A Mozilla e a Microsoft lançaram patches de emergência. O grupo é também responsável pelo backdoor RomCom RAT, distribuído via software trojanizado que imita ferramentas legítimas (SolarWinds Network Performance Monitor, KeePass, PDF tools). Em 2024, o grupo continuou ativo com campanhas de espionagem na Europa e no setor de energia. ## Attack Flow ```mermaid flowchart LR A[Reconhecimento\nLinkedIn / OSINT OTAN] --> B[Acesso Inicial\nZero-day Firefox\nSpear Phishing] B --> C[Execução\nRomCom RAT\nPowerShell loader] C --> D[Persistência\nBackdoor customizado\nScheduled Tasks] D --> E[Bifurcação\nEspionagem OTAN\nRansomware UNDERGROUND] E --> F[Impacto\nDados estratégicos\nExtorsão financeira] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | Spear Phishing | [[t1566-phishing\|T1566]] | Convites para eventos OTAN / governo | | Exploit Navegador | [[t1190-exploit-public-facing-application\|T1190]] | Firefox CVE-2023-36884 zero-click | | Software Trojanizado | [[t1195-supply-chain-compromise\|T1195]] | Instaladores maliciosos de ferramentas legítimas | | Ransomware | [[t1486-data-encrypted-for-impact\|T1486]] | UNDERGROUND ransomware | | PowerShell | [[t1059-command-and-scripting-interpreter\|T1059]] | Loaders e droppers | ## Detecção e Defesa - Manter Firefox e Windows atualizados — grupo usa zero-days recentes - Verificar assinaturas digitais de instaladores de software antes da execução - Implementar isolamento de browser para ambientes de alto risco - Aplicar [[m1021-restrict-web-based-content|M1021]] para bloqueio de sites não autorizados - Monitorar [[ds0009-process|DS0009]] para processos filhos anômalos do browser ## Referências - Microsoft MSTIC: Storm-0978 Firefox zero-day campaign (2023) - Mozilla: CVE-2023-4863 — Firefox zero-day exploited by RomCom - Blackberry: RomCom Exploiting Zero-Days in OTAN Summit (2023) - ESET: RomCom backdoor and UNDERGROUND ransomware (2023) - CISA Advisory: Storm-0978 / RomCom TTPs (2023)