RAT SingleCamper

بازیگر تهدید روسی معروف به RomCom حداقل از اواخر سال 2023 با موج جدیدی از حملات سایبری با هدف سازمان‌های دولتی اوکراین و نهادهای ناشناس لهستانی مرتبط بوده است.

این نفوذها با استفاده از گونه‌ای از RomCom RAT با نام SingleCamper (معروف به SnipBot یا RomCom 5.0) مشخص می‌شوند. محققان Infosec در حال نظارت بر خوشه فعالیت تحت نام UAT-5647 هستند. این نسخه مستقیماً از رجیستری در حافظه بارگذاری می شود و از یک آدرس Loopback برای برقراری ارتباط با لودر خود استفاده می کند.

این بازیگر تهدید، کمپین های حملات متعددی را راه اندازی کرده است

RomCom که با نام‌های مستعار Storm-0978، Tropical Scorpius، UAC-0180، UNC2596 و Void Rabisu نیز شناخته می‌شود، از زمان ظهور خود در سال 2022 در عملیات‌های سایبری مختلف شرکت داشته است. این عملیات شامل حملات باج‌افزار، طرح‌های اخاذی و هدف‌گیری می‌شود. مجموعه مدارک

ارزیابی‌های اخیر نشان‌دهنده افزایش قابل‌توجه در فرکانس حملات آن‌ها، با تمرکز بر ایجاد دسترسی طولانی‌مدت به شبکه‌های آسیب‌دیده و استخراج داده‌های ارزشمند است که به یک دستور کار مبتنی بر جاسوسی اشاره می‌کند.

طبق گزارش ها، RomCom در حمایت از این موضوع، جعبه ابزار و زیرساخت خود را گسترش می دهد و طیف گسترده ای از مؤلفه های بدافزار را با استفاده از زبان ها و پلتفرم های برنامه نویسی متعدد، از جمله C++ (ShadyHammock)، Rust (DustyHammock)، Go (GLUEEGG) و Lua (DROPCLUE) ترکیب می کند. .

تاکتیک های فیشینگ نیزه ای برای به خطر انداختن اهداف

توالی حمله با یک ایمیل فیشینگ نیزه ای شروع می شود که یک دانلود کننده را تحویل می دهد، که ممکن است به زبان C++ (MeltingClaw) یا Rust (RustyClaw) نوشته شود. این دانلود کننده مسئول استقرار درب های پشتی ShadyHammock و DustyHammock است، در حالی که یک سند فریبنده برای حفظ فریب به گیرنده نمایش داده می شود.

DustyHammock برای برقراری ارتباط با یک سرور Command-and-Control (C2)، اجرای دستورات دلخواه و دانلود فایل ها از آن طراحی شده است. در مقابل، ShadyHammock به عنوان یک پلت فرم برای راه اندازی SingleCamper و نظارت بر دستورات دریافتی عمل می کند.

علیرغم قابلیت‌های اضافی ShadyHammock، آن را سلف DustyHammock می‌دانند، زیرا دومی در حملات اخیر در سپتامبر 2024 شناسایی شده است.

SingleCamper RAT آخرین نسخه است

SingleCamper، آخرین نسخه از RomCom RAT، برای فعالیت های مختلف پس از سازش طراحی شده است. این فعالیت ها شامل دانلود ابزار Plink از PuTTY برای ایجاد تونل های راه دور با زیرساخت های کنترل شده توسط دشمن، انجام شناسایی شبکه، تسهیل حرکت جانبی، کشف کاربران و سیستم ها و استخراج داده ها است.

به نظر می رسد که این سری خاص از حملات، با هدف نهادهای پرمخاطب اوکراینی، با استراتژی دو جانبه UAT-5647 همسو است: ایجاد دسترسی طولانی مدت و استخراج داده ها برای دوره های طولانی برای پشتیبانی از اهداف جاسوسی و به طور بالقوه محوری برای استقرار باج افزار برای ایجاد اختلال. عملیات و سود مالی از مصالحه.

علاوه بر این، این احتمال وجود دارد که نهادهای لهستانی نیز مورد هدف قرار گرفته باشند، همانطور که توسط بررسی های زبان صفحه کلید انجام شده توسط بدافزار نشان داده شده است.

اوکراین همچنان هدف حملات بدافزار پیچیده است

این اعلامیه به دنبال هشدار تیم واکنش اضطراری رایانه ای اوکراین (CERT-UA) در مورد حملات سایبری انجام شده توسط یک عامل تهدید موسوم به UAC-0050 است که اطلاعات حساس و وجوه را با استفاده از خانواده های مختلف بدافزار از جمله Remcos RAT ، SectopRAT هدف قرار می دهد. ، Xeno RAT، Lumma Stealer، Mars Stealer و Meduza Stealer .

عملیات سرقت مالی UAC-0050 بر سرقت وجوه از مشاغل اوکراینی و کارآفرینان خصوصی متمرکز است. این امر با دسترسی غیرمجاز به رایانه های حسابداران از طریق ابزارهای کنترل از راه دور مانند Remcos و TEKTONITRMS به دست می آید.

بین سپتامبر و اکتبر 2024، UAC-0050 حداقل 30 حمله از این دست را انجام داد که شامل ایجاد تراکنش های مالی جعلی از طریق سیستم های بانکی از راه دور، با مقادیری از ده ها هزار تا چند میلیون UAH بود.

علاوه بر این، CERT-UA گزارش داده است که تلاش‌هایی برای انتشار پیام‌های جعلی از طریق حساب @reserveplusbot در پلتفرم پیام‌رسانی تلگرام، با هدف استقرار بدافزار Meduza Stealer تحت پوشش نصب نرم‌افزار ویژه، مشاهده کرده است.