SingleCamper RAT

RomComi nime all tuntud Venemaa ohutegijat on vähemalt 2023. aasta lõpust seostatud Ukraina valitsusasutuste ja tundmatute Poola üksuste vastu suunatud uue küberrünnakute lainega.

Sissetungi iseloomustab RomCom RATi ühe variandi kasutamine, mille nimi on SingleCamper (teise nimega SnipBot või RomCom 5.0). Infoseci teadlased jälgivad tegevusklastrit nimetuse UAT-5647 all. See versioon laaditakse otse registrist mällu ja kasutab oma laadijaga suhtlemiseks loopback-aadressi.

See ähvardusnäitleja on algatanud arvukalt rünnakukampaaniaid

RomCom, mida tuntakse ka varjunimede all nagu Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 ja Void Rabisu, on alates selle ilmumisest 2022. aastal osalenud erinevates küberoperatsioonides. Need toimingud hõlmavad lunavararünnakuid, väljapressimisskeeme ja sihipäraseid volikirjade kogumine.

Hiljutised hinnangud näitavad nende rünnakute sageduse märgatavat kasvu, keskendudes pikaajalise juurdepääsu loomisele ohustatud võrkudele ja väärtuslike andmete hankimisele, osutades spionaažipõhisele tegevuskavale.

Selle toetuseks laiendab RomCom väidetavalt oma tööriistakomplekti ja infrastruktuuri, hõlmates laia valikut pahavara komponente, mis on loodud mitme programmeerimiskeele ja platvormide abil, sealhulgas C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) ja Lua (DROPCLUE) .

Odaandmepüügitaktikad sihtmärkide ohustamiseks

Rünnakute jadad algavad andmepüügi e-kirjaga, mis edastab allalaadija, mis võib olla kirjutatud C++ (MeltingClaw) või Rust (RustyClaw) keeles. See allalaadija vastutab ShadyHammocki ja DustyHammocki tagauste juurutamise eest, samal ajal kui adressaadile kuvatakse pettuse säilitamiseks peibutusdokument.

DustyHammock on loodud suhtlema Command-and-Control (C2) serveriga, täitma suvalisi käske ja laadima sealt alla faile. Seevastu ShadyHammock toimib platvormina SingleCamperi käivitamiseks ja sissetulevate käskude jälgimiseks.

Vaatamata ShadyHammocki lisavõimalustele peetakse seda DustyHammocki eelkäijaks, kuna viimast on avastatud rünnakutes alles 2024. aasta septembris.

SingleCamper RAT on uusim iteratsioon

SingleCamper, RomCom RATi uusim iteratsioon, on mõeldud erinevateks kompromissijärgseteks tegevusteks. Need tegevused hõlmavad Plinki tööriista allalaadimist PuTTY-st, et luua kaugtunneleid koos vastase juhitava infrastruktuuriga, võrguga tutvumise läbiviimist, külgsuunalise liikumise hõlbustamist, kasutajate ja süsteemide avastamist ning andmete väljafiltreerimist.

See konkreetne rünnete seeria, mis on suunatud kõrgetasemelistele Ukraina üksustele, näib olevat kooskõlas UAT-5647 kahekordse strateegiaga: luua pikaajaline juurdepääs ja hankida andmeid pikema aja jooksul, et toetada spionaažieesmärke ning potentsiaalselt pöörduda lunavara juurutamise poole, et häirida. ja saada kompromissist rahalist kasu.

Lisaks on tõenäoline, et sihikule võeti ka Poola üksused, nagu näitas pahavara läbi viidud klaviatuuri keelekontroll.

Ukraina on endiselt keerukate pahavararünnakute sihtmärk

Teade järgneb Ukraina arvutihädaabirühma (CERT-UA) hoiatusele küberrünnakute kohta, mille viis läbi UAC-0050-na tuntud ohus osaleja, kes sihib tundlikku teavet ja rahalisi vahendeid, kasutades erinevaid pahavaraperekondi, sealhulgas Remcos RAT , SectopRAT. , Xeno RAT, Lumma Stealer, Mars Stealer ja Meduza Stealer .

UAC-0050 rahaliste varguste toimingud keskenduvad raha varastamisele Ukraina ettevõtetelt ja eraettevõtjatelt. See saavutatakse volitamata juurdepääsu kaudu raamatupidajate arvutitele kaugjuhtimistööriistade, nagu Remcos ja TEKTONITRMS, kaudu.

Ajavahemikus 2024. aasta septembrist oktoobrini sooritas UAC-0050 vähemalt 30 sellist rünnakut, mis hõlmasid kaugpangandussüsteemide kaudu võltsfinantstehingute tegemist summadega, mis ulatusid kümnetest tuhandetest kuni mitme miljoni UAHni.

Lisaks on CERT-UA teatanud katsetest levitada telegrammi sõnumiplatvormi @reserveplusbot konto kaudu petturlikke sõnumeid, mille eesmärk on juurutada Meduza Stealeri pahavara spetsiaalse tarkvara installimise varjus.