सिंगलकैम्पर RAT
रोमकॉम के नाम से जाना जाने वाला रूसी खतरा अभिनेता, कम से कम 2023 के अंत से यूक्रेनी सरकारी एजेंसियों और अज्ञात पोलिश संस्थाओं को लक्षित करके साइबर हमलों की एक नई लहर से जुड़ा हुआ है।
घुसपैठ की विशेषता RomCom RAT के एक प्रकार के उपयोग से है जिसे SingleCamper (उर्फ स्निपबॉट या RomCom 5.0) कहा जाता है। Infosec शोधकर्ता UAT-5647 नाम के तहत गतिविधि क्लस्टर की निगरानी कर रहे हैं। यह संस्करण सीधे रजिस्ट्री से मेमोरी में लोड किया जाता है और अपने लोडर के साथ संचार करने के लिए लूपबैक एड्रेस का उपयोग करता है।
विषयसूची
इस ख़तरनाक अभिनेता ने कई हमले अभियान शुरू किए हैं
रोमकॉम, जिसे स्टॉर्म-0978, ट्रॉपिकल स्कॉर्पियस, यूएसी-0180, यूएनसी2596 और वॉयड रबिसु जैसे उपनामों से भी जाना जाता है, 2022 में अपने उद्भव के बाद से विभिन्न साइबर ऑपरेशनों में शामिल रहा है। इन ऑपरेशनों में रैनसमवेयर हमले, जबरन वसूली की योजनाएँ और क्रेडेंशियल्स का लक्षित संग्रह शामिल हैं।
हाल के आकलनों से पता चलता है कि उनके हमलों की आवृत्ति में उल्लेखनीय वृद्धि हुई है, जिसमें समझौता किए गए नेटवर्क तक दीर्घकालिक पहुंच स्थापित करने और मूल्यवान डेटा निकालने पर ध्यान केंद्रित किया गया है, जो जासूसी से प्रेरित एजेंडे की ओर इशारा करता है।
इसके समर्थन में, रोमकॉम कथित तौर पर अपने टूलकिट और बुनियादी ढांचे का विस्तार कर रहा है, जिसमें C++ (शैडीहैमॉक), रस्ट (डस्टीहैमॉक), गो (GLUEEGG) और लुआ (DROPCLUE) सहित कई प्रोग्रामिंग भाषाओं और प्लेटफार्मों का उपयोग करके निर्मित मैलवेयर घटकों की एक विस्तृत श्रृंखला को शामिल किया गया है।
लक्ष्य को खतरे में डालने के लिए स्पीयर-फ़िशिंग रणनीति
हमले का क्रम स्पीयर-फ़िशिंग ईमेल से शुरू होता है जो एक डाउनलोडर डिलीवर करता है, जो C++ (MeltingClaw) या Rust (RustyClaw) में लिखा जा सकता है। यह डाउनलोडर ShadyHammock और DustyHammock बैकडोर को तैनात करने के लिए ज़िम्मेदार है, जबकि धोखे को बनाए रखने के लिए प्राप्तकर्ता को एक नकली दस्तावेज़ दिखाया जाता है।
डस्टीहैमॉक को कमांड-एंड-कंट्रोल (C2) सर्वर के साथ संचार करने, मनमाने आदेशों को निष्पादित करने और उससे फ़ाइलें डाउनलोड करने के लिए डिज़ाइन किया गया है। इसके विपरीत, शैडीहैमॉक सिंगलकैम्पर को लॉन्च करने और आने वाले आदेशों की निगरानी करने के लिए एक प्लेटफ़ॉर्म के रूप में कार्य करता है।
शेडीहैमॉक की अतिरिक्त क्षमताओं के बावजूद, इसे डस्टीहैमॉक का पूर्ववर्ती माना जाता है, क्योंकि हाल ही में सितंबर 2024 में हुए हमलों में इसका पता चला है।
सिंगलकैम्पर आरएटी नवीनतम संस्करण है
सिंगलकैम्पर, रोमकॉम आरएटी का नवीनतम संस्करण है, जिसे समझौता-पश्चात की विभिन्न गतिविधियों के लिए डिज़ाइन किया गया है। इन गतिविधियों में पुट्टी से प्लिंक टूल डाउनलोड करना, दुश्मन द्वारा नियंत्रित बुनियादी ढांचे के साथ दूरस्थ सुरंग बनाना, नेटवर्क की टोह लेना, पार्श्व आंदोलन को सुविधाजनक बनाना, उपयोगकर्ताओं और प्रणालियों की खोज करना और डेटा को बाहर निकालना शामिल है।
उच्च-प्रोफ़ाइल यूक्रेनी संस्थाओं को लक्षित करके किए गए हमलों की यह विशेष श्रृंखला, UAT-5647 की दोहरी रणनीति के अनुरूप प्रतीत होती है: जासूसी लक्ष्यों को पूरा करने के लिए दीर्घकालिक पहुंच स्थापित करना और लंबी अवधि के लिए डेटा निकालना, तथा संभावित रूप से रैनसमवेयर का उपयोग कर परिचालन को बाधित करना और समझौते से वित्तीय लाभ प्राप्त करना।
इसके अतिरिक्त, यह भी संभावना है कि पोलिश संस्थाओं को भी निशाना बनाया गया हो, जैसा कि मैलवेयर द्वारा की गई कीबोर्ड भाषा जांच से पता चलता है।
यूक्रेन परिष्कृत मैलवेयर हमलों का लक्ष्य बना हुआ है
यह घोषणा यूक्रेन की कंप्यूटर आपातकालीन प्रतिक्रिया टीम (CERT-UA) की उस चेतावनी के बाद की गई है, जिसमें UAC-0050 नामक एक खतरनाक अभिनेता द्वारा किए गए साइबर हमलों के बारे में बताया गया था, जो रेमकोस RAT , सेक्टोप्रैट, ज़ेनो RAT, लुम्मा स्टीलर, मार्स स्टीलर और मेडुज़ा स्टीलर सहित विभिन्न मैलवेयर परिवारों का उपयोग करके संवेदनशील जानकारी और धन को निशाना बना रहा है।
UAC-0050 के वित्तीय चोरी अभियान यूक्रेनी व्यवसायों और निजी उद्यमियों से धन चुराने पर केंद्रित हैं। यह रेमकोस और टेक्टोनाइट्रम्स जैसे रिमोट कंट्रोल टूल के माध्यम से एकाउंटेंट के कंप्यूटर तक अनधिकृत पहुंच प्राप्त करके हासिल किया जाता है।
सितंबर और अक्टूबर 2024 के बीच, UAC-0050 ने कम से कम 30 ऐसे हमले किए, जिनमें दूरस्थ बैंकिंग प्रणालियों के माध्यम से फर्जी वित्तीय लेनदेन करना शामिल था, जिनकी राशि दसियों हज़ार से लेकर कई मिलियन UAH तक थी।
इसके अतिरिक्त, CERT-UA ने टेलीग्राम मैसेजिंग प्लेटफॉर्म पर @reserveplusbot खाते के माध्यम से धोखाधड़ी वाले संदेश फैलाने के प्रयासों के बारे में जानकारी दी है, जिसका उद्देश्य विशेष सॉफ्टवेयर स्थापित करने की आड़ में मेडुजा स्टीलर मैलवेयर को तैनात करना है।
उपनाम
2 सुरक्षा विक्रेताओं ने इस फ़ाइल को दुर्भावनापूर्ण के रूप में फ़्लैग किया।
| एंटीवायरस सॉफ्टवेयर | खोज |
|---|---|
| - | RomCom 5.0 |
| - | SnipBot |
