SingleCamper RAT

Ο Ρώσος ηθοποιός απειλών, γνωστός ως RomCom, έχει συνδεθεί με ένα νέο κύμα επιθέσεων στον κυβερνοχώρο που στοχεύουν σε ουκρανικές κυβερνητικές υπηρεσίες και άγνωστες πολωνικές οντότητες τουλάχιστον από τα τέλη του 2023.

Οι εισβολές χαρακτηρίζονται από τη χρήση μιας παραλλαγής του RomCom RAT που ονομάζεται SingleCamper (γνωστός και ως SnipBot ή RomCom 5.0). Οι ερευνητές της Infosec παρακολουθούν το σύμπλεγμα δραστηριοτήτων με το όνομα UAT-5647. Αυτή η έκδοση φορτώνεται απευθείας από το μητρώο στη μνήμη και χρησιμοποιεί μια διεύθυνση loopback για να επικοινωνεί με τον φορτωτή της.

Αυτός ο ηθοποιός απειλών έχει ξεκινήσει πολυάριθμες εκστρατείες επιθέσεων

Η RomCom, επίσης γνωστή με ψευδώνυμα όπως Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 και Void Rabisu, έχει εμπλακεί σε διάφορες κυβερνοεπιχειρήσεις από την εμφάνισή της το 2022. Αυτές οι επιχειρήσεις περιλαμβάνουν επιθέσεις ransomware, προγράμματα εκβιασμού και στοχευμένους συλλογή διαπιστευτηρίων.

Οι πρόσφατες εκτιμήσεις δείχνουν μια αξιοσημείωτη αύξηση στη συχνότητα των επιθέσεων τους, με έμφαση στη δημιουργία μακροπρόθεσμης πρόσβασης σε παραβιασμένα δίκτυα και στην εξαγωγή πολύτιμων δεδομένων, υποδεικνύοντας μια ατζέντα με γνώμονα την κατασκοπεία.

Προς υποστήριξη αυτού, η RomCom φέρεται να επεκτείνει την εργαλειοθήκη και την υποδομή της, ενσωματώνοντας ένα ευρύ φάσμα στοιχείων κακόβουλου λογισμικού που έχουν κατασκευαστεί με χρήση πολλαπλών γλωσσών προγραμματισμού και πλατφορμών, συμπεριλαμβανομένων των C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) και Lua (DROPCLUE). .

Spear-phishing τακτικές για συμβιβασμό των στόχων

Οι ακολουθίες επίθεσης ξεκινούν με ένα email ηλεκτρονικού ψαρέματος με δόρυ που παραδίδει ένα πρόγραμμα λήψης, το οποίο μπορεί να είναι γραμμένο είτε σε C++ (MeltingClaw) είτε σε Rust (RustyClaw). Αυτό το πρόγραμμα λήψης είναι υπεύθυνο για την ανάπτυξη των κερκόπορτων ShadyHammock και DustyHammock, ενώ ένα έγγραφο δόλωμα εμφανίζεται στον παραλήπτη για να διατηρήσει την εξαπάτηση.

Το DustyHammock έχει σχεδιαστεί για να επικοινωνεί με έναν διακομιστή Command-and-Control (C2), να εκτελεί αυθαίρετες εντολές και να κατεβάζει αρχεία από αυτόν. Αντίθετα, το ShadyHammock λειτουργεί ως πλατφόρμα για την εκκίνηση του SingleCamper και την παρακολούθηση των εισερχόμενων εντολών.

Παρά τις πρόσθετες δυνατότητες του ShadyHammock, θεωρείται προκάτοχος του DustyHammock, καθώς το τελευταίο έχει εντοπιστεί σε επιθέσεις μόλις τον Σεπτέμβριο του 2024.

Το SingleCamper RAT είναι η πιο πρόσφατη επανάληψη

Το SingleCamper, η τελευταία έκδοση του RomCom RAT, έχει σχεδιαστεί για διάφορες δραστηριότητες μετά τον συμβιβασμό. Αυτές οι δραστηριότητες περιλαμβάνουν τη λήψη του εργαλείου Plink από το PuTTY για τη δημιουργία απομακρυσμένων σηράγγων με υποδομή ελεγχόμενη από τον αντίπαλο, τη διεξαγωγή αναγνώρισης δικτύου, τη διευκόλυνση της πλευρικής κίνησης, την ανακάλυψη χρηστών και συστημάτων και την εξαγωγή δεδομένων.

Αυτή η συγκεκριμένη σειρά επιθέσεων, που στοχεύει σε οντότητες υψηλού προφίλ της Ουκρανίας, φαίνεται να ευθυγραμμίζεται με τη διττή στρατηγική του UAT-5647: τη δημιουργία μακροπρόθεσμης πρόσβασης και την εξαγωγή δεδομένων για εκτεταμένες περιόδους για την υποστήριξη στόχων κατασκοπείας και πιθανή στροφή στην ανάπτυξη ransomware για διακοπή επιχειρήσεις και οικονομικά κέρδη από τον συμβιβασμό.

Επιπλέον, είναι πιθανό ότι στοχοποιήθηκαν και πολωνικές οντότητες, όπως υποδεικνύεται από τους ελέγχους γλώσσας πληκτρολογίου που διενεργήθηκαν από το κακόβουλο λογισμικό.

Η Ουκρανία παραμένει ο στόχος εξελιγμένων επιθέσεων κακόβουλου λογισμικού

Η ανακοίνωση ακολουθεί μια προειδοποίηση από την Computer Emergency Response Team of Ukraine (CERT-UA) σχετικά με κυβερνοεπιθέσεις που πραγματοποιούνται από έναν παράγοντα απειλών γνωστό ως UAC-0050, ο οποίος στοχεύει ευαίσθητες πληροφορίες και κεφάλαια χρησιμοποιώντας διάφορες οικογένειες κακόβουλου λογισμικού, συμπεριλαμβανομένου του Remcos RAT , του SectopRAT , το Xeno RAT, το Lumma Stealer, το Mars Stealer και το Meduza Stealer .

Οι επιχειρήσεις χρηματοοικονομικής κλοπής του UAC-0050 επικεντρώνονται στην κλοπή κεφαλαίων από Ουκρανικές επιχειρήσεις και ιδιώτες επιχειρηματίες. Αυτό επιτυγχάνεται με την απόκτηση μη εξουσιοδοτημένης πρόσβασης στους υπολογιστές των λογιστών μέσω εργαλείων τηλεχειρισμού όπως το Remcos και το TEKTONITRMS.

Μεταξύ Σεπτεμβρίου και Οκτωβρίου 2024, το UAC-0050 εκτέλεσε τουλάχιστον 30 τέτοιες επιθέσεις, οι οποίες αφορούσαν τη δημιουργία ψεύτικων οικονομικών συναλλαγών μέσω απομακρυσμένων τραπεζικών συστημάτων, με ποσά που κυμαίνονταν από δεκάδες χιλιάδες έως αρκετά εκατομμύρια UAH.

Επιπλέον, η CERT-UA ανέφερε ότι παρατήρησε προσπάθειες διάδοσης δόλιων μηνυμάτων μέσω του λογαριασμού @reserveplusbot στην πλατφόρμα ανταλλαγής μηνυμάτων Telegram, με στόχο την ανάπτυξη του κακόβουλου λογισμικού Meduza Stealer υπό το πρόσχημα της εγκατάστασης ειδικού λογισμικού.