SingleCamper RAT

Руската заплаха, известна като RomCom, е свързана с нова вълна от кибератаки, насочени към украински правителствени агенции и неизвестни полски организации поне от края на 2023 г.

Проникванията се характеризират с използването на вариант на RomCom RAT, наречен SingleCamper (известен още като SnipBot или RomCom 5.0). Изследователите на Infosec наблюдават клъстера на активността под псевдонима UAT-5647. Тази версия се зарежда директно от системния регистър в паметта и използва loopback адрес, за да комуникира със своя товарач.

Този заплашителен актьор е стартирал многобройни кампании за атака

RomCom, известен също с псевдоними като Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 и Void Rabisu, участва в различни кибероперации от появата си през 2022 г. Тези операции включват атаки с ransomware, схеми за изнудване и целеви събиране на акредитивни писма.

Последните оценки показват забележимо увеличение на честотата на техните атаки, с фокус върху установяването на дългосрочен достъп до компрометирани мрежи и извличането на ценни данни, което сочи към програма, водена от шпионаж.

Съобщава се, че в подкрепа на това RomCom разширява своя набор от инструменти и инфраструктура, включвайки широка гама от компоненти на зловреден софтуер, изградени с помощта на множество програмни езици и платформи, включително C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) и Lua (DROPCLUE) .

Тактики за фишинг за компрометиране на целите

Последователностите от атаки започват с фишинг имейл, който доставя програма за изтегляне, която може да бъде написана на C++ (MeltingClaw) или на Rust (RustyClaw). Този инструмент за изтегляне е отговорен за внедряването на задните врати на ShadyHammock и DustyHammock, докато на получателя се показва документ-примамка, за да поддържа измамата.

DustyHammock е проектиран да комуникира с Command-and-Control (C2) сървър, да изпълнява произволни команди и да изтегля файлове от него. За разлика от това, ShadyHammock функционира като платформа за стартиране на SingleCamper и наблюдение на входящи команди.

Въпреки допълнителните възможности на ShadyHammock, той се счита за предшественик на DustyHammock, тъй като последният е открит при атаки през септември 2024 г.

SingleCamper RAT е най-новата итерация

SingleCamper, най-новата итерация на RomCom RAT, е предназначена за различни дейности след компромис. Тези дейности включват изтегляне на инструмента Plink от PuTTY за създаване на отдалечени тунели с инфраструктура, контролирана от противника, провеждане на мрежово разузнаване, улесняване на странично движение, откриване на потребители и системи и ексфилтриране на данни.

Тази конкретна серия от атаки, насочени към високопоставени украински субекти, изглежда съответства на двойната стратегия на UAT-5647: да се установи дългосрочен достъп и да се извличат данни за продължителни периоди, за да се поддържат шпионски цели и потенциално да се насочи към внедряване на рансъмуер за прекъсване операции и финансова печалба от компромиса.

Освен това е вероятно полските организации също да са били насочени, както е посочено от проверките на езика на клавиатурата, извършени от зловредния софтуер.

Украйна остава мишена на сложни атаки със зловреден софтуер

Съобщението следва предупреждение от Екипа за компютърно реагиране при извънредни ситуации на Украйна (CERT-UA) относно кибератаки, извършени от заплаха, известна като UAC-0050, която се насочва към чувствителна информация и средства, използвайки различни семейства зловреден софтуер, включително Remcos RAT , SectopRAT , Xeno RAT, Lumma Stealer, Mars Stealer и Meduza Stealer .

Операциите за финансова кражба на UAC-0050 се фокусират върху кражба на средства от украински бизнес и частни предприемачи. Това се постига чрез получаване на неоторизиран достъп до компютрите на счетоводителите чрез инструменти за дистанционно управление като Remcos и TEKTONITRMS.

Между септември и октомври 2024 г. UAC-0050 извърши най-малко 30 подобни атаки, включващи създаване на фалшиви финансови транзакции чрез системи за отдалечено банкиране със суми, вариращи от десетки хиляди до няколко милиона UAH.

Освен това CERT-UA съобщи за наблюдение на опити за разпространение на измамни съобщения чрез акаунта @reserveplusbot в платформата за съобщения Telegram, целящи внедряване на зловреден софтуер Meduza Stealer под прикритието на инсталиране на специален софтуер.