SingleCamper RAT

RomCom-nimellä tunnettu venäläinen uhkatoimija on yhdistetty uuteen kyberhyökkäysten aaltoon Ukrainan valtion virastoihin ja tuntemattomiin puolalaisiin tahoihin ainakin vuoden 2023 lopusta lähtien.

Tunkeutumisille on ominaista RomCom RATin muunnelman käyttö, joka on nimetty SingleCamperiksi (alias SnipBot tai RomCom 5.0). Infosecin tutkijat seuraavat aktiivisuusklusteria nimellä UAT-5647. Tämä versio ladataan suoraan rekisteristä muistiin, ja se käyttää takaisinkytkentäosoitetta kommunikoidakseen lataajansa kanssa.

Tämä uhkanäyttelijä on käynnistänyt lukuisia hyökkäyskampanjoita

RomCom, joka tunnetaan myös aliaksilla kuten Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 ja Void Rabisu, on ollut mukana erilaisissa kyberoperaatioissa vuodesta 2022 lähtien. valtakirjojen kokoelma.

Viimeaikaiset arviot osoittavat niiden hyökkäystiheyden huomattavan lisääntyneen, ja niissä keskitytään pitkäaikaisen pääsyn luomiseen vaarantuneisiin verkkoihin ja arvokkaan datan poimimiseen, mikä viittaa vakoiluvetoiseen toimintaohjelmaan.

Tämän tueksi RomComin kerrotaan laajentavan työkalupakkiaan ja infrastruktuuriaan sisältäen laajan valikoiman haittaohjelmakomponentteja, jotka on rakennettu useilla ohjelmointikielillä ja alustoilla, mukaan lukien C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) ja Lua (DROPCLUE). .

Spear-phishing-taktiikka kohteiden vaarantamiseksi

Hyökkäyssarjat alkavat keihäs-phishing-sähköpostilla, joka toimittaa latausohjelman, joka voi olla kirjoitettu joko C++:lla (MeltingClaw) tai Rustilla (RustyClaw). Tämä latausohjelma on vastuussa ShadyHammock- ja DustyHammock-takaovien käyttöönotosta, kun taas vastaanottajalle näytetään houkutusasiakirja petoksen ylläpitämiseksi.

DustyHammock on suunniteltu kommunikoimaan Command-and-Control (C2) -palvelimen kanssa, suorittamaan mielivaltaisia komentoja ja lataamaan tiedostoja siitä. Sitä vastoin ShadyHammock toimii alustana SingleCamperin käynnistämiseen ja saapuvien komentojen valvontaan.

ShadyHammockin lisäominaisuuksista huolimatta sitä pidetään DustyHammockin edeltäjänä, koska jälkimmäinen on havaittu hyökkäyksissä vielä syyskuussa 2024.

SingleCamper RAT on uusin iteraatio

SingleCamper, RomCom RATin uusin iteraatio, on suunniteltu erilaisiin kompromissin jälkeisiin toimiin. Näihin toimintoihin kuuluu Plink-työkalun lataaminen PuTTY:stä etätunneleiden luomiseksi vastustajan ohjaamalla infrastruktuurilla, verkon tiedustelun suorittaminen, sivuttaisliikkeen helpottaminen, käyttäjien ja järjestelmien löytäminen ja tietojen tutkiminen.

Tämä erityinen hyökkäyssarja, joka on suunnattu korkean profiilin ukrainalaisille tahoille, näyttää olevan UAT-5647:n kaksiosaisen strategian mukainen: luoda pitkäaikainen käyttöoikeus ja poimia tietoja pitkiä aikoja vakoilutavoitteiden tukemiseksi ja mahdollisesti kääntyvän kiristysohjelmien käyttöönoton häiritsemiseksi. ja saada taloudellista hyötyä kompromissista.

Lisäksi on todennäköistä, että kohteena oli myös puolalaisia yhteisöjä, kuten haittaohjelman suorittamat näppäimistön kielen tarkistukset osoittavat.

Ukraina on edelleen kehittyneiden haittaohjelmahyökkäysten kohteena

Ilmoitus on seurausta Ukrainan Computer Emergency Response Teamin (CERT-UA) varoituksesta, joka koskee UAC-0050-nimisen uhkatoimijan suorittamia kyberhyökkäyksiä, jotka kohdistuvat arkaluontoisiin tietoihin ja varoihin käyttämällä erilaisia haittaohjelmaperheitä, mukaan lukien Remcos RAT , SectopRAT. , Xeno RAT, Lumma Stealer, Mars Stealer ja Meduza Stealer .

UAC-0050:n rahavarkaustoiminta keskittyy varojen varastamiseen ukrainalaisilta yrityksiltä ja yksityisiltä yrittäjiltä. Tämä saavutetaan hankkimalla luvaton pääsy kirjanpitäjien tietokoneisiin Remcosin ja TEKTONITRMSin kaltaisten etähallintatyökalujen avulla.

Syyskuun ja lokakuun 2024 välisenä aikana UAC-0050 suoritti vähintään 30 tällaista hyökkäystä, jotka sisälsivät väärennettyjen rahoitustapahtumien luomisen etäpankkijärjestelmien kautta, joiden summat vaihtelivat kymmenistä tuhansista useisiin miljooniin UAH:iin.

Lisäksi CERT-UA on raportoinut havainneensa yrityksiä levittää vilpillisiä viestejä @reserveplusbot-tilin kautta Telegram-viestintäalustalla, ja tarkoituksena on ottaa käyttöön Meduza Stealer -haittaohjelma erikoisohjelmiston asentamisen varjolla.