SingleCamper RAT

Ruský aktér ohrožení známý jako RomCom je spojován s novou vlnou kybernetických útoků zaměřených na ukrajinské vládní agentury a neznámé polské subjekty přinejmenším od konce roku 2023.

Narušení se vyznačuje použitím varianty RomCom RAT s názvem SingleCamper (aka SnipBot nebo RomCom 5.0). Výzkumníci společnosti Infosec sledují shluk aktivit pod přezdívkou UAT-5647. Tato verze se načítá přímo z registru do paměti a ke komunikaci s jejím zavaděčem používá adresu zpětné smyčky.

Tento aktér hrozeb spustil četné útočné kampaně

RomCom, známý také pod přezdívkami jako Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 a Void Rabisu, se od svého vzniku v roce 2022 podílí na různých kybernetických operacích. Tyto operace zahrnují ransomwarové útoky, vyděračská schémata a cílené sbírka pověřovacích listin.

Nedávná hodnocení naznačují znatelný nárůst frekvence jejich útoků se zaměřením na vytvoření dlouhodobého přístupu ke kompromitovaným sítím a extrahování cenných dat, což ukazuje na agendu řízenou špionáží.

Na podporu toho RomCom údajně rozšiřuje svou sadu nástrojů a infrastrukturu a zahrnuje širokou škálu malwarových komponent vytvořených pomocí různých programovacích jazyků a platforem, včetně C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) a Lua (DROPCLUE). .

Spear-phishing taktika ke kompromitaci cílů

Útočné sekvence začínají e-mailem typu spear-phishing, který doručí stahovací program, který může být napsán buď v C++ (MeltingClaw) nebo Rust (RustyClaw). Tento downloader je zodpovědný za nasazení zadních vrátek ShadyHammock a DustyHammock, zatímco příjemci se zobrazí návnada, aby se zachoval klam.

DustyHammock je navržen tak, aby komunikoval se serverem Command-and-Control (C2), spouštěl libovolné příkazy a stahoval z něj soubory. Naproti tomu ShadyHammock funguje jako platforma pro spouštění SingleCamperu a sledování příchozích příkazů.

Navzdory dodatečným schopnostem ShadyHammock je považován za předchůdce DustyHammock, protože druhý byl detekován při útocích až v září 2024.

SingleCamper RAT je nejnovější iterace

SingleCamper, nejnovější iterace RomCom RAT, je navržen pro různé aktivity po kompromitaci. Tyto aktivity zahrnují stažení nástroje Plink z PuTTY pro vytváření vzdálených tunelů s infrastrukturou řízenou protivníkem, provádění průzkumu sítě, usnadnění bočního pohybu, odhalování uživatelů a systémů a exfiltraci dat.

Zdá se, že tato konkrétní série útoků zaměřených na vysoce postavené ukrajinské subjekty je v souladu s dvojí strategií UAT-5647: zavést dlouhodobý přístup a extrahovat data po delší dobu za účelem podpory špionážních cílů a potenciálně přejít k nasazení ransomwaru s cílem narušit operací a získat finanční zisk z kompromisu.

Kromě toho je pravděpodobné, že cílem byly také polské subjekty, jak naznačují kontroly jazyka klávesnice provedené malwarem.

Ukrajina zůstává cílem sofistikovaných malwarových útoků

Oznámení následuje po varování ukrajinského týmu Computer Emergency Response Team (CERT-UA) ohledně kybernetických útoků prováděných aktérem hrozeb známým jako UAC-0050, který se zaměřuje na citlivé informace a finanční prostředky pomocí různých skupin malwaru, včetně Remcos RAT , SectopRAT. , Xeno RAT, Lumma Stealer, Mars Stealer a Meduza Stealer .

Operace finančních krádeží UAC-0050 se zaměřují na krádeže finančních prostředků od ukrajinských podniků a soukromých podnikatelů. Toho je dosaženo získáním neoprávněného přístupu k počítačům účetních prostřednictvím nástrojů dálkového ovládání, jako jsou Remcos a TEKTONITRMS.

Mezi zářím a říjnem 2024 provedl UAC-0050 nejméně 30 takových útoků, které zahrnovaly vytváření falešných finančních transakcí prostřednictvím vzdálených bankovních systémů, v částkách od desítek tisíc do několika milionů UAH.

CERT-UA navíc oznámila, že sledovala pokusy o šíření podvodných zpráv prostřednictvím účtu @reserveplusbot na platformě pro zasílání zpráv Telegram s cílem nasadit malware Meduza Stealer pod rouškou instalace speciálního softwaru.