RAT per camper singoli

L'autore della minaccia russa noto come RomCom è stato collegato a una nuova ondata di attacchi informatici rivolti ad agenzie governative ucraine e ad entità polacche sconosciute almeno dalla fine del 2023.

Le intrusioni sono caratterizzate dall'uso di una variante del RomCom RAT denominato SingleCamper (alias SnipBot o RomCom 5.0). I ricercatori di Infosec stanno monitorando il cluster di attività sotto il moniker UAT-5647. Questa versione viene caricata direttamente dal registro nella memoria e usa un indirizzo loopback per comunicare con il suo loader.

Questo attore della minaccia ha lanciato numerose campagne di attacco

RomCom, noto anche con alias quali Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 e Void Rabisu, è stato coinvolto in varie operazioni informatiche sin dalla sua comparsa nel 2022. Queste operazioni includono attacchi ransomware, schemi di estorsione e la raccolta mirata di credenziali.

Valutazioni recenti indicano un notevole aumento della frequenza degli attacchi, con un'attenzione particolare alla creazione di un accesso a lungo termine alle reti compromesse e all'estrazione di dati preziosi, il che indica un'agenda orientata allo spionaggio.

A sostegno di ciò, si dice che RomCom stia espandendo il suo toolkit e la sua infrastruttura, incorporando un'ampia gamma di componenti malware creati utilizzando più linguaggi di programmazione e piattaforme, tra cui C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) e Lua (DROPCLUE).

Tattiche di spear-phishing per compromettere gli obiettivi

Le sequenze di attacco iniziano con un'e-mail di spear-phishing che invia un downloader, che può essere scritto in C++ (MeltingClaw) o Rust (RustyClaw). Questo downloader è responsabile dell'implementazione delle backdoor ShadyHammock e DustyHammock, mentre un documento esca viene visualizzato al destinatario per mantenere l'inganno.

DustyHammock è progettato per comunicare con un server Command-and-Control (C2), eseguire comandi arbitrari e scaricare file da esso. Al contrario, ShadyHammock funziona come una piattaforma per lanciare SingleCamper e monitorare i comandi in arrivo.

Nonostante le sue capacità aggiuntive, ShadyHammock è considerato un predecessore di DustyHammock, poiché quest'ultimo è stato rilevato in attacchi risalenti addirittura a settembre 2024.

SingleCamper RAT è l'ultima iterazione

SingleCamper, l'ultima iterazione del RomCom RAT, è progettata per varie attività post-compromesso. Queste attività includono il download dello strumento Plink da PuTTY per creare tunnel remoti con infrastrutture controllate dall'avversario, condurre ricognizioni di rete, facilitare il movimento laterale, scoprire utenti e sistemi ed esfiltrare dati.

Questa particolare serie di attacchi, mirati a importanti entità ucraine, sembra allinearsi alla duplice strategia di UAT-5647: stabilire un accesso a lungo termine ed estrarre dati per periodi prolungati per supportare obiettivi di spionaggio e potenzialmente passare all'implementazione di ransomware per interrompere le operazioni e trarre profitto dalla compromissione.

Inoltre, è probabile che siano state prese di mira anche entità polacche, come indicato dai controlli della lingua della tastiera eseguiti dal malware.

L'Ucraina resta bersaglio di attacchi malware sofisticati

L'annuncio segue un avviso del Computer Emergency Response Team dell'Ucraina (CERT-UA) in merito agli attacchi informatici condotti da un autore di minacce noto come UAC-0050, che prende di mira informazioni e fondi sensibili utilizzando varie famiglie di malware, tra cui Remcos RAT , SectopRAT, Xeno RAT, Lumma Stealer, Mars Stealer e Meduza Stealer .

Le operazioni di furto finanziario di UAC-0050 si concentrano sul furto di fondi da aziende ucraine e imprenditori privati. Ciò viene ottenuto ottenendo l'accesso non autorizzato ai computer dei contabili tramite strumenti di controllo remoto come Remcos e TEKTONITRMS.

Tra settembre e ottobre 2024, UAC-0050 ha eseguito almeno 30 attacchi di questo tipo, che prevedevano la creazione di false transazioni finanziarie tramite sistemi di remote banking, per importi che andavano da decine di migliaia a diversi milioni di UAH.

Inoltre, il CERT-UA ha segnalato di aver osservato tentativi di diffusione di messaggi fraudolenti tramite l'account @reserveplusbot sulla piattaforma di messaggistica Telegram, con l'obiettivo di distribuire il malware Meduza Stealer con il pretesto di installare un software speciale.