SingleCamper RAT

L'actor d'amenaça rus conegut com a RomCom ha estat vinculat a una nova onada d'atacs cibernètics dirigits a agències governamentals d'Ucraïna i entitats poloneses desconegudes des d'almenys finals del 2023.

Les intrusions es caracteritzen per l'ús d'una variant del RomCom RAT anomenada SingleCamper (també conegut com SnipBot o RomCom 5.0). Els investigadors d'Infosec estan monitoritzant el clúster d'activitat amb el sobrenom UAT-5647. Aquesta versió es carrega directament des del registre a la memòria i utilitza una adreça de bucle per comunicar-se amb el seu carregador.

Aquest actor d'amenaça ha llançat nombroses campanyes d'atac

RomCom, també conegut per àlies com Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 i Void Rabisu, ha participat en diverses operacions cibernètiques des de la seva aparició el 2022. Aquestes operacions inclouen atacs de ransomware, esquemes d'extorsió i els recollida de credencials.

Avaluacions recents indiquen un augment notable de la seva freqüència d'atac, centrant-se en establir un accés a llarg termini a xarxes compromeses i extreure dades valuoses, apuntant a una agenda impulsada per l'espionatge.

En suport d'això, RomCom està ampliant el seu conjunt d'eines i la seva infraestructura, incorporant una àmplia gamma de components de programari maliciós creats amb múltiples llenguatges i plataformes de programació, com ara C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) i Lua (DROPCLUE). .

Tàctiques de spear-phishing per comprometre els objectius

Les seqüències d'atac comencen amb un correu electrònic de pesca de llança que ofereix un descarregador, que es pot escriure en C++ (MeltingClaw) o Rust (RustyClaw). Aquest descarregador s'encarrega de desplegar les portes del darrere ShadyHammock i DustyHammock, mentre que es mostra un document d'engany al destinatari per mantenir l'engany.

DustyHammock està dissenyat per comunicar-se amb un servidor d'ordres i control (C2), executar ordres arbitràries i descarregar-ne fitxers. En canvi, ShadyHammock funciona com una plataforma per llançar SingleCamper i controlar les ordres entrants.

Malgrat les capacitats addicionals de ShadyHammock, es considera un predecessor de DustyHammock, ja que aquest últim s'ha detectat en atacs fins al setembre de 2024.

El SingleCamper RAT és l'última iteració

SingleCamper, l'última iteració del RomCom RAT, està dissenyat per a diverses activitats posteriors al compromís. Aquestes activitats inclouen la descàrrega de l'eina Plink de PuTTY per crear túnels remots amb una infraestructura controlada per l'adversari, realitzar reconeixements de xarxa, facilitar el moviment lateral, descobrir usuaris i sistemes i extreure dades.

Aquesta sèrie particular d'atacs, dirigits a entitats ucraïneses d'alt perfil, sembla que s'alinea amb la doble estratègia d'UAT-5647: establir un accés a llarg termini i extreure dades durant períodes prolongats per donar suport als objectius d'espionatge i, potencialment, girar cap al desplegament de ransomware per interrompre. operacions i guanyar econòmicament del compromís.

A més, és probable que les entitats poloneses també fossin objectiu, tal com indiquen les comprovacions d'idioma del teclat realitzades pel programari maliciós.

Ucraïna segueix sent l'objectiu dels atacs de programari maliciós sofisticats

L'anunci segueix una advertència de l'equip de resposta a emergències informàtiques d'Ucraïna (CERT-UA) sobre ciberatacs realitzats per un actor d'amenaces conegut com a UAC-0050, que s'adreça a informació i fons sensibles mitjançant diverses famílies de programari maliciós, inclosa la RAT Remcos , el SectopRAT. , el Xeno RAT, el Lumma Stealer, el Mars Stealer i el Meduza Stealer .

Les operacions de robatori financer de la UAC-0050 se centren en robar fons d'empreses ucraïneses i empresaris privats. Això s'aconsegueix obtenint accés no autoritzat als ordinadors dels comptables mitjançant eines de control remot com Remcos i TEKTONITRMS.

Entre setembre i octubre de 2024, UAC-0050 va executar almenys 30 atacs d'aquest tipus, que van implicar la creació de transaccions financeres falses mitjançant sistemes bancaris remots, amb imports que van des de desenes de milers fins a diversos milions d'UAH.

A més, el CERT-UA ha informat d'observar intents de difondre missatges fraudulents a través del compte @reserveplusbot a la plataforma de missatgeria de Telegram, amb l'objectiu de desplegar el programari maliciós Meduza Stealer amb l'excusa d'instal·lar programari especial.