SingleCamper RAT

Ruski akter prijetnje poznat kao RomCom povezan je s novim valom kibernetičkih napada usmjerenih na ukrajinske vladine agencije i nepoznate poljske entitete barem od kraja 2023.

Upade karakterizira korištenje varijante RomCom RAT- a nazvane SingleCamper (aka SnipBot ili RomCom 5.0). Istraživači Infoseca prate klaster aktivnosti pod nadimkom UAT-5647. Ova verzija se učitava izravno iz registra u memoriju i koristi povratnu adresu za komunikaciju sa svojim učitavačem.

Ovaj akter prijetnje pokrenuo je brojne kampanje napada

RomCom, također poznat pod nadimcima kao što su Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 i Void Rabisu, uključen je u razne cyber operacije od svog pojavljivanja 2022. Te operacije uključuju napade ransomwareom, sheme iznude i ciljane prikupljanje vjerodajnica.

Nedavne procjene ukazuju na primjetan porast njihove učestalosti napada, s fokusom na uspostavljanje dugoročnog pristupa kompromitiranim mrežama i izvlačenje vrijednih podataka, ukazujući na plan vođen špijunažom.

U prilog tome, RomCom navodno proširuje svoj alat i infrastrukturu, uključujući širok raspon komponenti zlonamjernog softvera izgrađenih pomoću više programskih jezika i platformi, uključujući C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) i Lua (DROPCLUE) .

Taktike krađe identiteta za kompromitiranje meta

Sekvence napada započinju e-porukom spear-phishing koja isporučuje program za preuzimanje, koji može biti napisan u C++ (MeltingClaw) ili Rust (RustyClaw). Ovaj preuzimač odgovoran je za postavljanje stražnjih vrata ShadyHammock i DustyHammock, dok se primatelju prikazuje dokument mamac kako bi se održala prijevara.

DustyHammock je dizajniran za komunikaciju s Command-and-Control (C2) poslužiteljem, izvršavanje proizvoljnih naredbi i preuzimanje datoteka s njega. Nasuprot tome, ShadyHammock funkcionira kao platforma za pokretanje SingleCampera i praćenje dolaznih naredbi.

Unatoč dodatnim mogućnostima ShadyHammocka, smatra se prethodnikom DustyHammocka, budući da je potonji otkriven u napadima tek u rujnu 2024.

SingleCamper RAT najnovija je iteracija

SingleCamper, najnovija iteracija RomCom RAT-a, dizajnirana je za razne aktivnosti nakon kompromisa. Ove aktivnosti uključuju preuzimanje alata Plink s PuTTY-ja za stvaranje udaljenih tunela s infrastrukturom koju kontrolira protivnik, provođenje mrežnog izviđanja, olakšavanje bočnog kretanja, otkrivanje korisnika i sustava i eksfiltraciju podataka.

Čini se da je ova posebna serija napada, usmjerena na ukrajinske subjekte visokog profila, usklađena s dvostrukom strategijom UAT-5647: uspostaviti dugoročni pristup i izvući podatke na dulja razdoblja kako bi se podržali ciljevi špijunaže i potencijalno okrenuti prema implementaciji ransomwarea radi prekida operacije i dobiti financijski od kompromisa.

Osim toga, vjerojatno je da su poljski entiteti također bili ciljani, kao što pokazuju provjere jezika tipkovnice koje je izvršio zlonamjerni softver.

Ukrajina je i dalje meta sofisticiranih napada zlonamjernog softvera

Ova objava uslijedila je nakon upozorenja Ukrajinskog tima za odgovor na računalne hitne slučajeve (CERT-UA) u vezi s kibernetičkim napadima koje izvodi akter prijetnje poznat kao UAC-0050, koji cilja osjetljive informacije i sredstva koristeći različite obitelji zlonamjernog softvera, uključujući Remcos RAT , SectopRAT , Xeno RAT, Lumma Stealer, Mars Stealer i Meduza Stealer .

Operacije financijske krađe UAC-0050 usmjerene su na krađu sredstava od ukrajinskih tvrtki i privatnih poduzetnika. To se postiže dobivanjem neovlaštenog pristupa računalima računovođa putem alata za daljinsko upravljanje kao što su Remcos i TEKTONITRMS.

Između rujna i listopada 2024. UAC-0050 izvršio je najmanje 30 takvih napada, koji su uključivali stvaranje lažnih financijskih transakcija putem sustava daljinskog bankarstva, s iznosima u rasponu od desetaka tisuća do nekoliko milijuna UAH.

Osim toga, CERT-UA je izvijestio o promatranju pokušaja širenja lažnih poruka putem računa @reserveplusbot na platformi za razmjenu poruka Telegram, s ciljem postavljanja zlonamjernog softvera Meduza Stealer pod krinkom instaliranja posebnog softvera.