SingleCamper RAT

שחקן האיום הרוסי המכונה RomCom נקשר לגל חדש של התקפות סייבר שכוונו לסוכנויות ממשלתיות אוקראיניות וגופים פולניים לא ידועים מאז סוף 2023 לפחות.

הפריצות מאופיינות בשימוש בגרסה של RomCom RAT המכונה SingleCamper (המכונה SnipBot או RomCom 5.0). חוקרי Infosec עוקבים אחר אשכול הפעילות תחת הכינוי UAT-5647. גרסה זו נטענת ישירות מהרישום לזיכרון ומשתמשת בכתובת loopback כדי לתקשר עם המטען שלה.

שחקן האיום הזה השיק מסעות תקיפה רבים

RomCom, הידועה גם בכינויים כגון Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 ו- Void Rabisu, הייתה מעורבת בפעולות סייבר שונות מאז הופעתה בשנת 2022. פעולות אלו כוללות התקפות של תוכנות כופר, תוכניות סחיטה ופעולות ממוקדות. אוסף של אישורים.

הערכות אחרונות מצביעות על עלייה ניכרת בתדירות התקיפות שלהם, תוך התמקדות ביצירת גישה ארוכת טווח לרשתות שנפגעו וחילוץ נתונים יקרי ערך, מה שמצביע על אג'נדה מונעת ריגול.

לתמיכה בכך, על פי הדיווחים, RomCom מרחיבה את ערכת הכלים והתשתית שלה, ומשלבת מגוון רחב של רכיבי תוכנה זדוניות שנבנו באמצעות שפות תכנות ופלטפורמות מרובות, כולל C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) ו-Lua (DROPCLUE) .

טקטיקות דיוג בחנית כדי להתפשר על המטרות

רצפי התקיפה מתחילים בדוא"ל דיוג בחנית שמספק הורדה, שעשוי להיכתב ב-C++ (MeltingClaw) או Rust (RustyClaw). הורדה זו אחראית לפריסת הדלתות האחוריות של ShadyHammock ו-DustyHammock, בעוד מסמך הטעיה מוצג לנמען כדי לשמור על ההונאה.

DustyHammock נועד לתקשר עם שרת Command-and-Control (C2), לבצע פקודות שרירותיות ולהוריד ממנו קבצים. לעומת זאת, ShadyHammock מתפקדת כפלטפורמה להפעלת SingleCamper ולניטור פקודות נכנסות.

למרות היכולות הנוספות של ShadyHammock, הוא נחשב לקודמו של DustyHammock, שכן האחרון זוהה בהתקפות עד ספטמבר 2024.

ה-SingleCamper RAT הוא האיטרציה האחרונה

SingleCamper, האיטרציה האחרונה של RomCom RAT, מיועדת לפעילויות שונות לאחר פשרה. פעילויות אלו כוללות הורדת הכלי Plink מ-PuTTY ליצירת מנהרות מרוחקות עם תשתית הנשלטת על ידי יריב, ביצוע סיור רשת, הקלת תנועה צידית, גילוי משתמשים ומערכות והוצאת נתונים.

נראה כי סדרת התקפות מסוימת זו, המכוונת כלפי ישויות אוקראיניות בעלות פרופיל גבוה, תואמת את האסטרטגיה הכפולה של UAT-5647: ליצור גישה ארוכת טווח ולחלץ נתונים לתקופות ממושכות כדי לתמוך ביעדי ריגול ועלול להוביל לפריסת תוכנות כופר כדי לשבש תפעול ולהרוויח כלכלית מהפשרה.

בנוסף, סביר להניח שגם ישויות פולניות היו ממוקדות, כפי שעולה מבדיקות שפת המקלדת שבוצעו על ידי התוכנה הזדונית.

אוקראינה נותרה היעד של התקפות זדוניות מתוחכמות

ההודעה באה בעקבות אזהרה של צוות תגובת החירום הממוחשב של אוקראינה (CERT-UA) בנוגע להתקפות סייבר שבוצעו על ידי שחקן איום הידוע בשם UAC-0050, המכוון למידע רגיש וכספים באמצעות משפחות תוכנות זדוניות שונות, כולל Remcos RAT , ה- SectopRAT , Xeno RAT, Lumma Stealer, Mars Stealer ו- Meduza Stealer .

פעולות הגניבה הפיננסיות של UAC-0050 מתמקדות בגניבת כספים מעסקים אוקראינים ומיזמים פרטיים. זה מושג על ידי השגת גישה לא מורשית למחשבי רואי החשבון באמצעות כלי שליטה מרחוק כמו Remcos ו-TEKTONITRMS.

בין ספטמבר לאוקטובר 2024, UAC-0050 ביצע לפחות 30 התקפות כאלה, שכללו יצירת עסקאות פיננסיות מזויפות באמצעות מערכות בנקאיות מרוחקות, בסכומים שנעו בין עשרות אלפים לכמה מיליוני UAH.

בנוסף, CERT-UA דיווחה על ניסיונות להפיץ הודעות הונאה דרך חשבון @reserveplusbot בפלטפורמת ההודעות Telegram, במטרה לפרוס את תוכנת הזדונית Meduza Stealer במסווה של התקנת תוכנה מיוחדת.