سينجل كامبر رات

ارتبطت المجموعة الروسية المعروفة باسم RomCom بموجة جديدة من الهجمات الإلكترونية التي تستهدف وكالات الحكومة الأوكرانية والكيانات البولندية غير المعروفة منذ أواخر عام 2023 على الأقل.

تتميز عمليات الاختراق باستخدام نسخة من RomCom RAT تسمى SingleCamper (المعروفة أيضًا باسم SnipBot أو RomCom 5.0). يراقب باحثو Infosec مجموعة النشاط تحت الاسم المستعار UAT-5647. يتم تحميل هذه النسخة مباشرة من السجل إلى الذاكرة وتستخدم عنوان loopback للتواصل مع محملها.

أطلق هذا الفاعل التهديدي العديد من حملات الهجوم

شاركت RomCom، المعروفة أيضًا بأسماء مستعارة مثل Storm-0978 وTropical Scorpius وUAC-0180 وUNC2596 وVoid Rabisu، في عمليات إلكترونية مختلفة منذ ظهورها في عام 2022. وتشمل هذه العمليات هجمات برامج الفدية ومخططات الابتزاز وجمع بيانات الاعتماد المستهدفة.

وتشير التقييمات الأخيرة إلى زيادة ملحوظة في وتيرة هجماتهم، مع التركيز على إنشاء وصول طويل الأمد إلى الشبكات المخترقة واستخراج البيانات القيمة، مما يشير إلى أجندة مدفوعة بالتجسس.

ودعماً لذلك، أفادت التقارير أن RomCom تعمل على توسيع مجموعة أدواتها وبنيتها الأساسية، من خلال دمج مجموعة واسعة من مكونات البرامج الضارة التي تم إنشاؤها باستخدام لغات برمجة ومنصات متعددة، بما في ذلك C++ (ShadyHammock)، وRust (DustyHammock)، وGo (GLUEEGG)، وLua (DROPCLUE).

تكتيكات التصيد الاحتيالي لاختراق الأهداف

تبدأ تسلسلات الهجوم برسالة بريد إلكتروني احتيالية ترسل برنامج تنزيل، قد يكون مكتوبًا إما بلغة C++ (MeltingClaw) أو Rust (RustyClaw). يكون برنامج التنزيل هذا مسؤولاً عن نشر الأبواب الخلفية ShadyHammock وDustyHammock، بينما يتم عرض مستند وهمي للمستلم للحفاظ على الخداع.

تم تصميم DustyHammock للتواصل مع خادم Command-and-Control (C2) وتنفيذ أوامر عشوائية وتنزيل الملفات منه. على النقيض من ذلك، يعمل ShadyHammock كمنصة لتشغيل SingleCamper ومراقبة الأوامر الواردة.

على الرغم من القدرات الإضافية التي يتمتع بها ShadyHammock، إلا أنه يُعتبر سلفًا لـ DustyHammock، حيث تم اكتشاف الأخير في هجمات مؤخرًا في سبتمبر 2024.

SingleCamper RAT هو الإصدار الأحدث

تم تصميم SingleCamper، أحدث إصدار من RomCom RAT، للقيام بأنشطة مختلفة بعد الاختراق. تتضمن هذه الأنشطة تنزيل أداة Plink من PuTTY لإنشاء أنفاق بعيدة مع بنية تحتية خاضعة لسيطرة الخصم، وإجراء استطلاع للشبكة، وتسهيل الحركة الجانبية، واكتشاف المستخدمين والأنظمة، واستخراج البيانات.

ويبدو أن هذه السلسلة الخاصة من الهجمات، التي تستهدف كيانات أوكرانية رفيعة المستوى، تتوافق مع استراتيجية UAT-5647 المزدوجة: إنشاء وصول طويل الأمد واستخراج البيانات لفترات طويلة لدعم أهداف التجسس والتحول المحتمل إلى نشر برامج الفدية لتعطيل العمليات والاستفادة المالية من الاختراق.

بالإضافة إلى ذلك، فمن المرجح أن تكون الكيانات البولندية مستهدفة أيضًا، كما هو موضح من خلال عمليات التحقق من لغة لوحة المفاتيح التي أجراها البرنامج الضار.

تظل أوكرانيا هدفًا لهجمات البرامج الضارة المتطورة

ويأتي هذا الإعلان بعد تحذير من فريق الاستجابة لحالات الطوارئ الحاسوبية في أوكرانيا (CERT-UA) بشأن الهجمات الإلكترونية التي يشنها جهة تهديد معروفة باسم UAC-0050، والتي تستهدف المعلومات الحساسة والأموال باستخدام عائلات مختلفة من البرامج الضارة، بما في ذلك Remcos RAT و SectopRAT و Xeno RAT و Lumma Stealer و Mars Stealer و Meduza Stealer .

تركز عمليات السرقة المالية التي تقوم بها مجموعة UAC-0050 على سرقة الأموال من الشركات الأوكرانية وأصحاب المشاريع الخاصة. ويتم تحقيق ذلك من خلال الوصول غير المصرح به إلى أجهزة الكمبيوتر الخاصة بالمحاسبين من خلال أدوات التحكم عن بعد مثل Remcos وTEKTONITRMS.

في الفترة ما بين سبتمبر وأكتوبر 2024، نفذت UAC-0050 ما لا يقل عن 30 هجومًا من هذا القبيل، والتي تضمنت إنشاء معاملات مالية مزيفة من خلال أنظمة مصرفية عن بعد، بمبالغ تتراوح من عشرات الآلاف إلى عدة ملايين من الهريفنيا الأوكرانية.

بالإضافة إلى ذلك، أفاد CERT-UA عن رصد محاولات لنشر رسائل احتيالية عبر حساب @reserveplusbot على منصة الرسائل Telegram، بهدف نشر برنامج Meduza Stealer الخبيث تحت ستار تثبيت برامج خاصة.