SingleCamper RAT

Rusijos grėsmių veikėjas, žinomas kaip RomCom, mažiausiai nuo 2023 metų pabaigos buvo siejamas su nauja kibernetinių atakų banga, nukreipta prieš Ukrainos vyriausybines agentūras ir nežinomus Lenkijos subjektus.

Įsilaužimams būdingas RomCom RAT variantas, pavadintas SingleCamper (dar žinomas kaip SnipBot arba RomCom 5.0). „Infosec“ tyrėjai stebi veiklos grupę, pavadintą UAT-5647. Ši versija įkeliama tiesiai iš registro į atmintį ir naudoja atgalinio ryšio adresą, kad galėtų susisiekti su savo įkrovikliu.

Šis grėsmių aktorius pradėjo daugybę puolimo kampanijų

RomCom, taip pat žinomas slapyvardžiais, tokiais kaip Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 ir Void Rabisu, nuo tada, kai atsirado 2022 m., dalyvavo įvairiose kibernetinėse operacijose. Šios operacijos apima išpirkos reikalaujančių programų atakas, turto prievartavimo schemas ir tikslines kredencialų rinkimas.

Naujausi vertinimai rodo, kad pastebimai išaugo jų atakų dažnis, daugiausia dėmesio skiriant ilgalaikės prieigos prie pažeistų tinklų sukūrimui ir vertingų duomenų išgavimui, nurodant šnipinėjimo darbotvarkę.

Pranešama, kad palaikydama tai, RomCom plečia savo įrankių rinkinį ir infrastruktūrą, įtraukdama daugybę kenkėjiškų programų komponentų, sukurtų naudojant kelias programavimo kalbas ir platformas, įskaitant C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) ir Lua (DROPCLUE). .

Sukčiavimo su ietis taktika siekiant sukompromituoti taikinius

Išpuolių sekos prasideda sukčiavimo el. laišku, kuris pateikia atsisiuntimo programą, kuri gali būti parašyta C++ (MeltingClaw) arba Rust (RustyClaw). Šis atsisiuntimo įrankis yra atsakingas už „ShadyHammock“ ir „DustyHammock“ galinių durų įdiegimą, o gavėjui rodomas apgaulės dokumentas, kad būtų išlaikyta apgaulė.

DustyHammock sukurtas bendrauti su komandų ir valdymo (C2) serveriu, vykdyti savavališkas komandas ir atsisiųsti iš jo failus. Priešingai, „ShadyHammock“ veikia kaip platforma „SingleCamper“ paleidimui ir gaunamų komandų stebėjimui.

Nepaisant papildomų „ShadyHammock“ galimybių, jis laikomas „DustyHammock“ pirmtaku, nes pastarasis atakų metu buvo aptiktas dar 2024 m. rugsėjo mėn.

„SingleCamper RAT“ yra naujausia iteracija

SingleCamper, naujausia RomCom RAT iteracija, skirta įvairioms veikloms po kompromiso. Ši veikla apima „Plink“ įrankio atsisiuntimą iš „PuTTY“, kad būtų galima sukurti nuotolinius tunelius su priešo valdoma infrastruktūra, atlikti tinklo žvalgybą, palengvinti judėjimą į šoną, aptikti vartotojus ir sistemas bei išfiltruoti duomenis.

Atrodo, kad ši konkreti atakų serija, nukreipta į aukšto lygio Ukrainos subjektus, atitinka dvigubą UAT-5647 strategiją: sukurti ilgalaikę prieigą ir išgauti duomenis ilgesniam laikotarpiui, siekiant paremti šnipinėjimo tikslus, ir potencialiai pereiti prie išpirkos reikalaujančių programų diegimo, kad sutrikdytų. operacijas ir gauti finansinės naudos iš kompromiso.

Be to, tikėtina, kad Lenkijos subjektai taip pat buvo taikomi, kaip rodo kenkėjiškos programos atlikti klaviatūros kalbos patikrinimai.

Ukraina išlieka sudėtingų kenkėjiškų programų atakų taikiniu

Šis pranešimas buvo paskelbtas po Ukrainos kompiuterinių avarijų reagavimo grupės (CERT-UA) įspėjimo dėl kibernetinių atakų, kurias įvykdė grėsmės veikėjas, žinomas kaip UAC-0050, kuris taikosi į neskelbtiną informaciją ir lėšas naudodamas įvairias kenkėjiškų programų šeimas, įskaitant Remcos RAT , SectopRAT. , Xeno RAT, Lumma Stealer, Mars Stealer ir Meduza Stealer .

UAC-0050 finansinės vagystės operacijos yra nukreiptos į lėšų vagystę iš Ukrainos įmonių ir privačių verslininkų. Tai pasiekiama įgyjant neteisėtą prieigą prie buhalterių kompiuterių naudojant nuotolinio valdymo įrankius, tokius kaip Remcos ir TEKTONITRMS.

2024 m. rugsėjo–spalio mėn. UAC-0050 įvykdė mažiausiai 30 tokių atakų, kurių metu per nuotolines bankininkystės sistemas buvo sukurtos netikros finansinės operacijos, kurių sumos svyravo nuo dešimčių tūkstančių iki kelių milijonų UAH.

Be to, CERT-UA pranešė apie bandymus platinti nesąžiningus pranešimus per @reserveplusbot paskyrą Telegram pranešimų platformoje, siekiant įdiegti Meduza Stealer kenkėjišką programą, prisidengiant specialios programinės įrangos įdiegimu.