SingleCamper RAT

রমকম নামে পরিচিত রাশিয়ান হুমকি অভিনেতা ইউক্রেনীয় সরকারী সংস্থা এবং অজানা পোলিশ সত্তাকে লক্ষ্য করে সাইবার আক্রমণের একটি নতুন তরঙ্গের সাথে যুক্ত হয়েছে কমপক্ষে 2023 সালের শেষের দিকে।

অনুপ্রবেশগুলিকে RomCom RAT ডাব করা SingleCamper (ওরফে স্নিপবট বা রমকম 5.0) এর একটি বৈকল্পিক ব্যবহার দ্বারা চিহ্নিত করা হয়। Infosec গবেষকরা moniker UAT-5647 এর অধীনে কার্যকলাপ ক্লাস্টার নিরীক্ষণ করছেন। এই সংস্করণটি সরাসরি রেজিস্ট্রি থেকে মেমরিতে লোড করা হয় এবং এর লোডারের সাথে যোগাযোগ করতে একটি লুপব্যাক ঠিকানা ব্যবহার করে।

এই হুমকি অভিনেতা অসংখ্য আক্রমণ প্রচারণা শুরু করেছেন

রমকম, স্টর্ম-০৯৭৮, ট্রপিক্যাল স্করপিয়াস, ইউএসি-০১৮০, ইউএনসি২৫৯৬, এবং ভয়েড রাবিসু-এর মতো উপনাম দ্বারাও পরিচিত, ২০২২ সালে উত্থানের পর থেকে বিভিন্ন সাইবার অপারেশনে জড়িত। শংসাপত্র সংগ্রহ।

সাম্প্রতিক মূল্যায়নগুলি গুপ্তচরবৃত্তি-চালিত এজেন্ডাকে নির্দেশ করে, আপস করা নেটওয়ার্কগুলিতে দীর্ঘমেয়াদী অ্যাক্সেস প্রতিষ্ঠা এবং মূল্যবান ডেটা বের করার উপর ফোকাস সহ তাদের আক্রমণের ফ্রিকোয়েন্সি একটি লক্ষণীয় বৃদ্ধি নির্দেশ করে।

এর সমর্থনে, রমকম তার টুলকিট এবং অবকাঠামোকে প্রসারিত করছে, C++ (শ্যাডিহ্যামক), রাস্ট (ডাস্টিহ্যামক), গো (গ্লুইজিজি) এবং লুয়া (ড্রপক্লু) সহ একাধিক প্রোগ্রামিং ভাষা এবং প্ল্যাটফর্ম ব্যবহার করে তৈরি বিস্তৃত ম্যালওয়্যার উপাদানগুলিকে অন্তর্ভুক্ত করছে। .

লক্ষ্যে আপস করার জন্য স্পিয়ার-ফিশিং কৌশল

আক্রমণের ক্রমগুলি একটি বর্শা-ফিশিং ইমেল দিয়ে শুরু হয় যা একটি ডাউনলোডার সরবরাহ করে, যা C++ (মেল্টিংক্লা) বা মরিচা (RustyClaw) এ লেখা হতে পারে। এই ডাউনলোডার ShadyHammock এবং DustyHammock ব্যাকডোর স্থাপনের জন্য দায়ী, যখন প্রতারণা বজায় রাখার জন্য প্রাপকের কাছে একটি ডিকয় নথি প্রদর্শিত হয়।

DustyHammock একটি কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে যোগাযোগ করতে, নির্বিচারে আদেশ কার্যকর করতে এবং এটি থেকে ফাইল ডাউনলোড করার জন্য ডিজাইন করা হয়েছে। বিপরীতে, শ্যাডিহ্যামক সিঙ্গেলক্যাম্পার চালু করার এবং আগত কমান্ডগুলি পর্যবেক্ষণ করার জন্য একটি প্ল্যাটফর্ম হিসাবে কাজ করে।

ShadyHammock-এর অতিরিক্ত ক্ষমতা থাকা সত্ত্বেও, এটি DustyHammock-এর পূর্বসূরি হিসাবে বিবেচিত হয়, কারণ সাম্প্রতিক সেপ্টেম্বর 2024-এর মতো আক্রমণে সনাক্ত করা হয়েছে।

SingleCamper RAT হল সর্বশেষ পুনরাবৃত্তি

SingleCamper, RomCom RAT-এর সর্বশেষ পুনরাবৃত্তি, বিভিন্ন আপস-পরবর্তী কার্যকলাপের জন্য ডিজাইন করা হয়েছে। এই ক্রিয়াকলাপগুলির মধ্যে রয়েছে প্রতিপক্ষ-নিয়ন্ত্রিত অবকাঠামো সহ দূরবর্তী টানেল তৈরি করার জন্য পুটিটি থেকে পিলিঙ্ক টুল ডাউনলোড করা, নেটওয়ার্ক পুনরুদ্ধার করা, পার্শ্বীয় চলাচলের সুবিধা দেওয়া, ব্যবহারকারী এবং সিস্টেমগুলি আবিষ্কার করা এবং ডেটা উত্তোলন করা।

হাই-প্রোফাইল ইউক্রেনীয় সত্ত্বাকে লক্ষ্য করে এই বিশেষ সিরিজের আক্রমণগুলি UAT-5647-এর দ্বিগুণ কৌশলের সাথে সারিবদ্ধ বলে মনে হচ্ছে: দীর্ঘমেয়াদী অ্যাক্সেস প্রতিষ্ঠা করা এবং গুপ্তচরবৃত্তির লক্ষ্যগুলিকে সমর্থন করার জন্য বর্ধিত সময়ের জন্য ডেটা বের করা এবং সম্ভাব্যভাবে বিঘ্নিত করার জন্য র্যানসমওয়্যার স্থাপনার দিকে পিভট করা। অপারেশন এবং আপস থেকে আর্থিক লাভ.

অতিরিক্তভাবে, সম্ভবত পোলিশ সত্ত্বাগুলিকেও লক্ষ্যবস্তু করা হয়েছিল, যা ম্যালওয়্যার দ্বারা পরিচালিত কীবোর্ড ভাষা পরীক্ষা দ্বারা নির্দেশিত হয়েছে৷

ইউক্রেন অত্যাধুনিক ম্যালওয়্যার আক্রমণের টার্গেটে রয়ে গেছে

এই ঘোষণাটি ইউক্রেনের কম্পিউটার ইমার্জেন্সি রেসপন্স টিম (CERT-UA) থেকে UAC-0050 নামে পরিচিত একজন হুমকি অভিনেতা দ্বারা পরিচালিত সাইবার আক্রমণ সম্পর্কে একটি সতর্কতা অনুসরণ করে, যারা Remcos RAT , SectopRAT সহ বিভিন্ন ম্যালওয়্যার পরিবার ব্যবহার করে সংবেদনশীল তথ্য এবং তহবিলকে লক্ষ্য করে। , Xeno RAT, লুম্মা চুরিকারী, মার্স স্টিলার এবং মেডুজা স্টিলার ।

UAC-0050 এর আর্থিক চুরি কার্যক্রম ইউক্রেনীয় ব্যবসা এবং ব্যক্তিগত উদ্যোক্তাদের কাছ থেকে তহবিল চুরি করার উপর ফোকাস করে। Remcos এবং TEKTONITRMS-এর মতো রিমোট কন্ট্রোল টুলের মাধ্যমে অ্যাকাউন্ট্যান্টদের কম্পিউটারে অননুমোদিত অ্যাক্সেস পাওয়ার মাধ্যমে এটি অর্জন করা হয়।

সেপ্টেম্বর এবং অক্টোবর 2024-এর মধ্যে, UAC-0050 অন্তত 30টি এই ধরনের আক্রমণ চালায়, যেগুলির মধ্যে দূরবর্তী ব্যাঙ্কিং সিস্টেমের মাধ্যমে জাল আর্থিক লেনদেন তৈরি করা হয়েছিল, যার পরিমাণ কয়েক হাজার থেকে কয়েক মিলিয়ন UAH পর্যন্ত।

অতিরিক্তভাবে, CERT-UA টেলিগ্রাম মেসেজিং প্ল্যাটফর্মে @reserveplusbot অ্যাকাউন্টের মাধ্যমে প্রতারণামূলক বার্তা ছড়িয়ে দেওয়ার প্রচেষ্টা পর্যবেক্ষণ করেছে, যার লক্ষ্য বিশেষ সফ্টওয়্যার ইনস্টল করার আড়ালে মেডুজা স্টিলার ম্যালওয়্যার স্থাপন করা।