SingleCamper RAT

តួអង្គគម្រាមកំហែងរបស់រុស្សីដែលគេស្គាល់ថាជា RomCom ត្រូវបានផ្សារភ្ជាប់ទៅនឹងរលកថ្មីនៃការវាយប្រហារតាមអ៊ីនធឺណេតដែលសំដៅទៅលើភ្នាក់ងាររដ្ឋាភិបាលអ៊ុយក្រែន និងអង្គភាពប៉ូឡូញដែលមិនស្គាល់ចាប់តាំងពីចុងឆ្នាំ 2023។

ការឈ្លានពានត្រូវបានកំណត់លក្ខណៈដោយការប្រើប្រាស់វ៉ារ្យ៉ង់នៃ RomCom RAT ដែលមានឈ្មោះថា SingleCamper (aka SnipBot ឬ RomCom 5.0) ។ អ្នកស្រាវជ្រាវ Infosec កំពុងត្រួតពិនិត្យក្រុមសកម្មភាពនៅក្រោម moniker UAT-5647 ។ កំណែនេះត្រូវបានផ្ទុកដោយផ្ទាល់ពីបញ្ជីឈ្មោះទៅក្នុងអង្គចងចាំ ហើយប្រើអាសយដ្ឋានរង្វិលជុំដើម្បីទាក់ទងជាមួយអ្នកផ្ទុករបស់វា។

តារា​ដែល​មាន​ការ​គំរាម​កំហែង​នេះ​បាន​បើក​យុទ្ធនាការ​វាយប្រហារ​ជា​ច្រើន។

RomCom ដែលត្រូវបានគេស្គាល់ផងដែរដោយឈ្មោះក្លែងក្លាយដូចជា Storm-0978, Tropical Scorpius, UAC-0180, UNC2596, និង Void Rabisu បានចូលរួមក្នុងប្រតិបត្តិការអ៊ីនធឺណេតផ្សេងៗចាប់តាំងពីការលេចចេញនៅឆ្នាំ 2022។ ប្រតិបត្តិការទាំងនេះរួមមានការវាយប្រហារ ransomware គម្រោងជំរិតទារប្រាក់ និងគោលដៅ។ ការប្រមូលព័ត៌មានអត្តសញ្ញាណ។

ការវាយតម្លៃនាពេលថ្មីៗនេះបង្ហាញពីការកើនឡើងគួរឱ្យកត់សម្គាល់នៃប្រេកង់វាយប្រហាររបស់ពួកគេ ដោយផ្តោតលើការបង្កើតការចូលប្រើប្រាស់រយៈពេលវែងទៅកាន់បណ្តាញដែលត្រូវបានសម្របសម្រួល និងការទាញយកទិន្នន័យដ៏មានតម្លៃ ដោយចង្អុលទៅរបៀបវារៈដែលជំរុញដោយចារកម្ម។

ដើម្បីគាំទ្រដល់បញ្ហានេះ RomCom ត្រូវបានគេរាយការណ៍ថាកំពុងពង្រីកកញ្ចប់ឧបករណ៍ និងហេដ្ឋារចនាសម្ព័ន្ធរបស់ខ្លួន ដោយរួមបញ្ចូលនូវសមាសធាតុមេរោគជាច្រើនដែលបង្កើតឡើងដោយប្រើភាសាកម្មវិធី និងវេទិកាជាច្រើន រួមទាំង C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) និង Lua (DROPCLUE) .

Spear-phishing Tactics ដើម្បីសម្រុះសម្រួលគោលដៅ

លំដាប់នៃការវាយប្រហារចាប់ផ្តើមដោយ spear-phishing email ដែលផ្តល់កម្មវិធីទាញយក ដែលអាចសរសេរជា C++ (MeltingClaw) ឬ Rust (RustyClaw)។ កម្មវិធីទាញយកនេះទទួលខុសត្រូវចំពោះការដាក់ពង្រាយ ShadyHammock និង DustyHammock backdoors ខណៈពេលដែលឯកសារបញ្ឆោតត្រូវបានបង្ហាញដល់អ្នកទទួលដើម្បីរក្សាការបោកប្រាស់។

DustyHammock ត្រូវបានរចនាឡើងដើម្បីទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ Command-and-Control (C2) ប្រតិបត្តិពាក្យបញ្ជាតាមអំពើចិត្ត និងទាញយកឯកសារពីវា។ ផ្ទុយទៅវិញ ShadyHammock មានមុខងារជាវេទិកាសម្រាប់បើកដំណើរការ SingleCamper និងត្រួតពិនិត្យពាក្យបញ្ជាចូល។

ទោះបីជាមានសមត្ថភាពបន្ថែមរបស់ ShadyHammock ក៏ដោយ វាត្រូវបានគេចាត់ទុកថាជាអ្នកកាន់តំណែងមុនរបស់ DustyHammock ដោយសារតែវាត្រូវបានរកឃើញនៅក្នុងការវាយប្រហារនាពេលថ្មីៗនេះនៅខែកញ្ញា ឆ្នាំ 2024។

SingleCamper RAT គឺជាកំណែចុងក្រោយបំផុត។

SingleCamper ដែលជាការធ្វើឡើងវិញចុងក្រោយបង្អស់របស់ RomCom RAT ត្រូវបានរចនាឡើងសម្រាប់សកម្មភាពក្រោយការសម្របសម្រួលផ្សេងៗ។ សកម្មភាពទាំងនេះរួមមានការទាញយកឧបករណ៍ Plink ពី PuTTY ដើម្បីបង្កើតផ្លូវរូងក្រោមដីពីចម្ងាយជាមួយនឹងហេដ្ឋារចនាសម្ព័ន្ធដែលគ្រប់គ្រងដោយសត្រូវ ធ្វើការត្រួតពិនិត្យបណ្តាញ សម្របសម្រួលចលនានៅពេលក្រោយ ស្វែងរកអ្នកប្រើប្រាស់ និងប្រព័ន្ធ និងការស្រង់ទិន្នន័យ។

ស៊េរីនៃការវាយប្រហារពិសេសនេះ សំដៅលើអង្គភាពដែលមានទម្រង់ខ្ពស់របស់អ៊ុយក្រែន ហាក់ដូចជាត្រូវគ្នានឹងយុទ្ធសាស្ត្រពីរដងរបស់ UAT-5647៖ ដើម្បីបង្កើតការចូលប្រើប្រាស់រយៈពេលវែង និងទាញយកទិន្នន័យសម្រាប់រយៈពេលវែង ដើម្បីគាំទ្រដល់គោលដៅចារកម្ម និងអាចជំរុញដល់ការដាក់ពង្រាយ ransomware ដើម្បីរំខាន។ ប្រតិបត្តិការ និងទទួលបានហិរញ្ញវត្ថុពីការសម្របសម្រួល។

លើសពីនេះទៀត វាទំនងជាថាអង្គភាពប៉ូឡូញក៏ត្រូវបានកំណត់គោលដៅផងដែរ ដូចដែលបានបង្ហាញដោយការត្រួតពិនិត្យភាសាក្តារចុចដែលធ្វើឡើងដោយមេរោគ។

អ៊ុយក្រែននៅតែជាគោលដៅនៃការវាយប្រហារមេរោគដ៏ទំនើប

ការប្រកាសនេះធ្វើឡើងបន្ទាប់ពីការព្រមានពីក្រុមឆ្លើយតបបន្ទាន់កុំព្យូទ័រនៃអ៊ុយក្រែន (CERT-UA) ទាក់ទងនឹងការវាយប្រហារតាមអ៊ីនធឺណិតដែលធ្វើឡើងដោយតួអង្គគំរាមកំហែងដែលគេស្គាល់ថា UAC-0050 ដែលកំពុងកំណត់គោលដៅព័ត៌មានរសើប និងមូលនិធិដោយប្រើប្រាស់គ្រួសារមេរោគផ្សេងៗ រួមទាំង Remcos RAT , SectopRAT , Xeno RAT, the Lumma Stealer, the Mars Stealer និង Meduza Stealer ។

ប្រតិបត្តិការលួចហិរញ្ញវត្ថុរបស់ UAC-0050 ផ្តោតលើការលួចមូលនិធិពីអាជីវកម្មអ៊ុយក្រែន និងសហគ្រិនឯកជន។ នេះត្រូវបានសម្រេចដោយការទទួលបានសិទ្ធិចូលប្រើកុំព្យូទ័ររបស់គណនេយ្យករដោយគ្មានការអនុញ្ញាតតាមរយៈឧបករណ៍បញ្ជាពីចម្ងាយដូចជា Remcos និង TEKTONITRMS ។

នៅចន្លោះខែកញ្ញា និងខែតុលា ឆ្នាំ 2024 UAC-0050 បានអនុវត្តការវាយប្រហារបែបនេះយ៉ាងហោចណាស់ 30 ដង ដែលពាក់ព័ន្ធនឹងការបង្កើតប្រតិបត្តិការហិរញ្ញវត្ថុក្លែងក្លាយតាមរយៈប្រព័ន្ធធនាគារពីចម្ងាយ ដែលមានទំហំចាប់ពីរាប់ម៉ឺនទៅរាប់លាន UAH ។

លើសពីនេះទៀត CERT-UA បានរាយការណ៍ពីការព្យាយាមផ្សព្វផ្សាយសារក្លែងបន្លំតាមរយៈគណនី @reserveplusbot នៅលើវេទិកាផ្ញើសារ Telegram ក្នុងគោលបំណងដាក់ពង្រាយមេរោគ Meduza Stealer ក្រោមការក្លែងបន្លំនៃការដំឡើងកម្មវិធីពិសេស។