SingleCamper RAT

Den russiske trusselsaktør kendt som RomCom har været forbundet med en ny bølge af cyberangreb rettet mod ukrainske regeringsorganer og ukendte polske enheder siden mindst slutningen af 2023.

Indtrængen er karakteriseret ved brugen af en variant af RomCom RAT døbt SingleCamper (alias SnipBot eller RomCom 5.0). Infosec-forskere overvåger aktivitetsklyngen under betegnelsen UAT-5647. Denne version indlæses direkte fra registreringsdatabasen i hukommelsen og bruger en loopback-adresse til at kommunikere med dens loader.

Denne trusselskuespiller har lanceret adskillige angrebskampagner

RomCom, også kendt under aliaser som Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 og Void Rabisu, har været involveret i forskellige cyberoperationer siden dets fremkomst i 2022. Disse operationer omfatter ransomware-angreb, afpresningsordninger og de målrettede indsamling af legitimationsoplysninger.

Nylige vurderinger indikerer en mærkbar stigning i deres angrebsfrekvens med fokus på at etablere langsigtet adgang til kompromitterede netværk og udvinde værdifulde data, hvilket peger på en spionagedrevet dagsorden.

Til støtte for dette udvider RomCom efter sigende sit værktøjssæt og infrastruktur og inkorporerer en bred vifte af malware-komponenter bygget ved hjælp af flere programmeringssprog og platforme, herunder C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) og Lua (DROPCLUE) .

Spyd-phishing-taktik for at kompromittere målene

Angrebssekvenserne begynder med en spear-phishing-e-mail, der leverer en downloader, som kan være skrevet i enten C++ (MeltingClaw) eller Rust (RustyClaw). Denne downloader er ansvarlig for at implementere ShadyHammock- og DustyHammock-bagdørene, mens et lokkedokument vises til modtageren for at opretholde bedraget.

DustyHammock er designet til at kommunikere med en Command-and-Control (C2) server, udføre vilkårlige kommandoer og downloade filer fra den. I modsætning hertil fungerer ShadyHammock som en platform til lancering af SingleCamper og overvågning af indkommende kommandoer.

På trods af de yderligere muligheder i ShadyHammock, betragtes den som en forgænger til DustyHammock, da sidstnævnte er blevet opdaget i angreb så sent som i september 2024.

SingleCamper RAT er den seneste iteration

SingleCamper, den seneste iteration af RomCom RAT, er designet til forskellige aktiviteter efter kompromis. Disse aktiviteter omfatter download af Plink-værktøjet fra PuTTY for at skabe fjerntunneler med modstandsstyret infrastruktur, udføre netværksrekognoscering, lette lateral bevægelse, opdage brugere og systemer og eksfiltrere data.

Denne særlige serie af angreb, rettet mod højprofilerede ukrainske enheder, ser ud til at stemme overens med UAT-5647s to-delte strategi: at etablere langsigtet adgang og udtrække data i længere perioder for at understøtte spionagemål og potentielt dreje til ransomware-udrulning for at forstyrre drift og få økonomisk udbytte af kompromiset.

Derudover er det sandsynligt, at polske enheder også blev målrettet, som indikeret af tastatursprogkontrollen udført af malwaren.

Ukraine er fortsat målet for sofistikerede malware-angreb

Meddelelsen følger en advarsel fra Ukraines Computer Emergency Response Team (CERT-UA) vedrørende cyberangreb udført af en trusselsaktør kendt som UAC-0050, som retter sig mod følsom information og midler ved hjælp af forskellige malware-familier, herunder Remcos RAT , SectopRAT. , Xeno RAT, Lumma Stealer, Mars Stealer og Meduza Stealer .

UAC-0050's finansielle tyverioperationer fokuserer på at stjæle midler fra ukrainske virksomheder og private iværksættere. Dette opnås ved at få uautoriseret adgang til revisorers computere gennem fjernbetjeningsværktøjer som Remcos og TEKTONITRMS.

Mellem september og oktober 2024 udførte UAC-0050 mindst 30 sådanne angreb, som involverede at skabe falske finansielle transaktioner gennem fjernbanksystemer, med beløb, der spænder fra titusinder til flere millioner UAH.

Derudover har CERT-UA rapporteret at observere forsøg på at sprede svigagtige beskeder via @reserveplusbot-kontoen på Telegram-meddelelsesplatformen, med det formål at implementere Meduza Stealer-malwaren under dække af at installere speciel software.