SingleCamper RAT

A RomCom néven ismert orosz fenyegetést legalább 2023 vége óta hozzák összefüggésbe az ukrán kormányzati szervek és ismeretlen lengyel szervezetek elleni új kibertámadási hullámmal.

A behatolásokat a RomCom RAT SingleCamper névre keresztelt változatának (más néven SnipBot vagy RomCom 5.0) használata jellemzi. Az Infosec kutatói az UAT-5647 néven futó tevékenységcsoportot figyelik. Ez a verzió közvetlenül a rendszerleíró adatbázisból töltődik be a memóriába, és visszacsatolási címet használ a betöltővel való kommunikációhoz.

Ez a fenyegetőző színész számos támadási kampányt indított

A RomCom, más néven Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 és Void Rabisu, 2022-es megjelenése óta számos kiberműveletben vesz részt. Ezek közé tartoznak a ransomware támadások, a zsaroló sémák és a célzott támadások. hitelesítő okiratok gyűjteménye.

A közelmúltban végzett felmérések a támadások gyakoriságának észrevehető növekedését jelzik, különös tekintettel a feltört hálózatokhoz való hosszú távú hozzáférés megteremtésére és az értékes adatok kinyerésére, utalva a kémkedés által vezérelt menetrendre.

Ennek alátámasztására a RomCom a hírek szerint bővíti eszköztárát és infrastruktúráját, amely számos programozási nyelv és platform felhasználásával készült kártevő-összetevőket tartalmaz, beleértve a C++-t (ShadyHammock), a Rust-ot (DustyHammock), a Go-t (GLUEEGG) és a Lua-t (DROPCLUE). .

Lándzsás adathalász taktika a célpontok veszélyeztetésére

A támadási sorozatok egy adathalász e-maillel kezdődnek, amely letöltőt szállít, amely C++ (MeltingClaw) vagy Rust (RustyClaw) nyelven írható. Ez a letöltő felelős a ShadyHammock és DustyHammock hátsó ajtók telepítéséért, miközben egy csali dokumentum jelenik meg a címzett számára a megtévesztés fenntartása érdekében.

A DustyHammockot úgy tervezték, hogy kommunikáljon egy Command-and-Control (C2) szerverrel, tetszőleges parancsokat hajtson végre, és fájlokat töltsön le róla. Ezzel szemben a ShadyHammock platformként funkcionál a SingleCamper elindításához és a bejövő parancsok figyeléséhez.

A ShadyHammock további képességei ellenére a DustyHammock elődjének számít, mivel utóbbit még 2024 szeptemberében észlelték támadásokban.

A SingleCamper RAT a legújabb iteráció

A SingleCamper, a RomCom RAT legújabb iterációja különféle kompromisszum utáni tevékenységekhez készült. Ezek közé a tevékenységek közé tartozik a Plink eszköz letöltése a PuTTY webhelyről, amellyel távoli alagutak hozhatók létre az ellenfél által vezérelt infrastruktúrával, a hálózat felderítése, az oldalirányú mozgás megkönnyítése, a felhasználók és rendszerek felfedezése, valamint az adatok kiszűrése.

Ez a különleges támadássorozat, amely nagy horderejű ukrán entitásokat céloz meg, úgy tűnik, összhangban van az UAT-5647 kettős stratégiájával: hosszú távú hozzáférés létrehozása és adatok kinyerése hosszabb ideig a kémkedési célok támogatása érdekében, és potenciálisan a zsarolóprogramok telepítése felé fordul, hogy megzavarja. működését, és anyagi hasznot húzhat a kompromisszumból.

Emellett valószínűleg lengyel entitások is célba kerültek, amint azt a rosszindulatú program által végzett billentyűzetnyelv-ellenőrzések is jelzik.

Ukrajna továbbra is a kifinomult malware támadások célpontja

A bejelentés az ukrán Computer Emergency Response Team (CERT-UA) figyelmeztetése nyomán az UAC-0050 néven ismert fenyegetettség szereplője által végrehajtott kibertámadásokkal kapcsolatban, akik érzékeny információkat és pénzeszközöket céloznak meg különböző rosszindulatú programcsaládok, köztük a Remcos RAT és a SectopRAT segítségével. , a Xeno RAT, a Lumma Stealer, a Mars Stealer és a Meduza Stealer .

Az UAC-0050 pénzügyi lopási műveletei az ukrán vállalkozásoktól és magánvállalkozóktól származó pénzek ellopására összpontosítanak. Ezt úgy érik el, hogy jogosulatlan hozzáférést kapnak a könyvelők számítógépeihez olyan távvezérlő eszközökön keresztül, mint a Remcos és a TEKTONITRMS.

2024 szeptembere és októbere között az UAC-0050 legalább 30 ilyen támadást hajtott végre, amelyek során hamis pénzügyi tranzakciókat hoztak létre távoli bankrendszereken keresztül, több tízezertől több millió UAH-ig terjedő összegben.

Ezenkívül a CERT-UA arról számolt be, hogy a Telegram üzenetküldő platformon a @reserveplusbot fiókon keresztül csalárd üzeneteket terjesztett, amelyek célja a Meduza Stealer rosszindulatú program telepítése speciális szoftver telepítésének leple alatt.