다중 라이센스 할인 견적
위협 데이터베이스 멀웨어 싱글캠퍼 RAT

싱글캠퍼 RAT

멀웨어, 지능형 지속 위협(APT), 원격 관리 도구년에 Mezo 년까지
번역 :
한국어

RomCom으로 알려진 러시아의 위협 행위자는 적어도 2023년 후반부터 우크라이나 정부 기관과 알려지지 않은 폴란드 기관을 표적으로 삼은 새로운 사이버 공격과 관련이 있는 것으로 밝혀졌습니다.

침입은 SingleCamper(일명 SnipBot 또는 RomCom 5.0)라고 불리는 RomCom RAT 의 변형을 사용하는 것이 특징입니다. 정보 보안 연구원들은 UAT-5647이라는 이름으로 활동 클러스터를 모니터링하고 있습니다. 이 버전은 레지스트리에서 메모리로 직접 로드되고 루프백 주소를 사용하여 로더와 통신합니다.

이 위협 행위자는 수많은 공격 캠페인을 시작했습니다.

RomCom은 Storm-0978, Tropical Scorpius, UAC-0180, UNC2596, Void Rabisu 등의 별칭으로도 알려져 있으며, 2022년 등장 이후 다양한 사이버 작전에 연루되었습니다. 이러한 작전에는 랜섬웨어 공격, 협박 계획, 신원 정보의 표적 수집이 포함됩니다.

최근 평가 결과에 따르면, 이들의 공격 빈도가 눈에 띄게 증가했으며, 주로 손상된 네트워크에 장기적으로 접근하여 귀중한 데이터를 추출하는 데 중점을 두고 있어 간첩 활동을 주요 목적으로 하고 있습니다.

이를 지원하기 위해 RomCom은 C++(ShadyHammock), Rust(DustyHammock), Go(GLUEEGG), Lua(DROPCLUE) 등 다양한 프로그래밍 언어와 플랫폼을 사용하여 구축된 광범위한 맬웨어 구성 요소를 통합하여 툴킷과 인프라를 확장하고 있는 것으로 알려졌습니다.

타겟을 손상시키는 스피어피싱 전술

공격 시퀀스는 다운로더를 전달하는 스피어 피싱 이메일로 시작하는데, 다운로더는 C++(MeltingClaw) 또는 Rust(RustyClaw)로 작성될 수 있습니다. 이 다운로더는 ShadyHammock 및 DustyHammock 백도어를 배포하는 역할을 하며, 수신자에게는 속임수를 유지하기 위해 미끼 문서가 표시됩니다.

DustyHammock은 명령 및 제어(C2) 서버와 통신하고, 임의의 명령을 실행하고, 여기에서 파일을 다운로드하도록 설계되었습니다. 반면 ShadyHammock은 SingleCamper를 시작하고 들어오는 명령을 모니터링하는 플랫폼으로 기능합니다.

ShadyHammock은 이러한 추가적인 기능에도 불구하고 DustyHammock의 전신으로 간주되는데, DustyHammock은 2024년 9월에 발생한 공격에서도 감지되었기 때문입니다.

SingleCamper RAT는 최신 버전입니다.

RomCom RAT의 최신 버전인 SingleCamper는 다양한 침해 후 활동을 위해 설계되었습니다. 이러한 활동에는 PuTTY에서 Plink 도구를 다운로드하여 적이 제어하는 인프라로 원격 터널을 만들고, 네트워크 정찰을 수행하고, 측면 이동을 용이하게 하고, 사용자와 시스템을 발견하고, 데이터를 빼내는 것이 포함됩니다.

우크라이나의 주요 기관을 표적으로 삼은 이 특정 공격 시리즈는 UAT-5647의 이중 전략과 일치하는 것으로 보입니다. 첫째, 장기적 접근을 확립하고 장기간 데이터를 추출하여 간첩 목적을 달성하는 것이고, 둘째, 랜섬웨어 배포로 전환하여 작전을 방해하고 침해를 통해 재정적 이익을 얻는 것입니다.

또한 맬웨어가 수행한 키보드 언어 검사를 통해 알 수 있듯이 폴란드 기업도 타깃이 되었을 가능성이 높습니다.

우크라이나는 정교한 맬웨어 공격의 표적이 되고 있다

이 발표는 우크라이나 컴퓨터 비상 대응팀(CERT-UA)이 Remcos RAT , SectopRAT, Xeno RAT, Lumma Stealer, Mars Stealer , Meduza Stealer를 포함한 다양한 맬웨어 계열을 사용하여 민감한 정보와 자금을 표적으로 삼는 UAC-0050이라는 위협 행위자가 수행하는 사이버 공격에 대한 경고에 따른 것입니다.

UAC-0050의 금융 도난 작전은 우크라이나 기업과 개인 사업가의 자금을 훔치는 데 중점을 둡니다. 이는 Remcos 및 TEKTONITRMS와 같은 원격 제어 도구를 통해 회계사의 컴퓨터에 무단으로 액세스하여 달성됩니다.

2024년 9월과 10월 사이에 UAC-0050은 최소 30건의 공격을 실행했는데, 여기에는 원격 뱅킹 시스템을 통해 수만 UAH에서 수백만 UAH에 이르는 금액의 가짜 금융 거래를 만드는 것이 포함되었습니다.

또한 CERT-UA는 텔레그램 메시징 플랫폼의 @reserveplusbot 계정을 통해 사기성 메시지를 퍼뜨리려는 시도가 있었음을 보고했는데, 이는 특수 소프트웨어를 설치한다는 명목으로 Meduza Stealer 맬웨어를 배포하려는 것이었습니다.

별칭

2개의 보안 공급업체가 이 파일을 악성으로 표시했습니다.

바이러스 백신 소프트웨어 발각
- RomCom 5.0
- SnipBot

트렌드

DennisTheHitman 랜섬웨어

랜섬웨어
디지털 위협이 정교하고 은밀한 시대에 기기를 맬웨어 위협으로부터 보호하는 것은 그 어느 때보다 중요합니다. 최근 특히 공격적인 위협 중 하나인 DennisTheHitman 랜섬웨어는 데이터 암호화 기술과 이중 강탈 전술로 악명을 떨쳤으며, 주로 회사를 표적으로 삼고 중요한 데이터를 인질로 잡았습니다. 이 위협이 작동하는 방식을 이해하고 필수적인 사이버...

Advzen.com

불량 웹사이트, 브라우저 하이재커
사이버 보안 전문가들은 다른 의심스러운 웹 사이트 중에서 Advzen.com 악성 웹 페이지를 발견했습니다. 이 페이지는 스팸 브라우저 알림을 홍보하고 방문자를 신뢰할 수 없거나 잠재적으로 안전하지 않은 다양한 웹사이트로 리디렉션하도록 설계된 것으로 보입니다. 대부분의 사용자는 불량 광고 네트워크를 사용하는 사이트로 인한 리디렉션을 통해...

디파이 랜섬웨어

랜섬웨어
랜섬웨어 및 기타 유해한 위협으로부터 기기를 보호하는 것은 매우 중요합니다. 특히 랜섬웨어는 중요한 데이터를 암호화하고 몸값을 요구하며 인질로 잡는 점점 더 정교해지는 사이버 공격 형태입니다. 최근 위협 중 Defi 랜섬웨어는 암호화를 활용하여 사용자에게 자신의 데이터에 대한 비용을 지불하도록 강요하는 특히 놀라운 도구로 등장했습니다. 이러한 위협의...

가장 많이 본

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
80,831
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
63,634
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
로드 중...