SingleCamper RAT

Krievijas draudu aktieris, kas pazīstams kā RomCom, ir saistīts ar jaunu kiberuzbrukumu vilni, kas vērsts pret Ukrainas valdības aģentūrām un nezināmām Polijas struktūrām vismaz kopš 2023. gada beigām.

Ielaušanos raksturo RomCom RAT varianta, kas nodēvēts par SingleCamper (pazīstams arī kā SnipBot vai RomCom 5.0), izmantošana. Infosec pētnieki uzrauga aktivitāšu kopu ar nosaukumu UAT-5647. Šī versija tiek ielādēta tieši no reģistra atmiņā un izmanto cilpas adresi, lai sazinātos ar ielādētāju.

Šis draudu aktieris ir uzsācis daudzas uzbrukuma kampaņas

RomCom, kas pazīstams arī ar tādiem aizstājvārdiem kā Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 un Void Rabisu, kopš tās parādīšanās 2022. gadā ir bijis iesaistīts dažādās kiberoperācijās. Šīs darbības ietver izspiedējvīrusu uzbrukumus, izspiešanas shēmas un mērķtiecīgus akreditācijas datu vākšana.

Nesenie novērtējumi liecina par ievērojamu uzbrukumu biežuma palielināšanos, koncentrējoties uz ilgtermiņa piekļuves izveidi apdraudētiem tīkliem un vērtīgu datu ieguvi, norādot uz spiegošanas virzītu programmu.

Tiek ziņots, ka, lai to atbalstītu, RomCom paplašina savu rīku komplektu un infrastruktūru, iekļaujot plašu ļaunprātīgas programmatūras komponentu klāstu, kas izveidots, izmantojot vairākas programmēšanas valodas un platformas, tostarp C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) un Lua (DROPCLUE). .

Šķēpu pikšķerēšanas taktika, lai apdraudētu mērķus

Uzbrukumu secības sākas ar pikšķerēšanas e-pasta ziņojumu, kas nodrošina lejupielādētāju, kas var būt rakstīts C++ (MeltingClaw) vai Rust (RustyClaw) valodā. Šis lejupielādētājs ir atbildīgs par ShadyHammock un DustyHammock aizmugures durvju izvietošanu, savukārt adresātam tiek parādīts mānekļu dokuments, lai saglabātu maldināšanu.

DustyHammock ir paredzēts, lai sazinātos ar Command-and-Control (C2) serveri, izpildītu patvaļīgas komandas un lejupielādētu no tā failus. Turpretim ShadyHammock darbojas kā platforma SingleCamper palaišanai un ienākošo komandu uzraudzībai.

Neskatoties uz ShadyHammock papildu iespējām, tas tiek uzskatīts par DustyHammock priekšteci, jo pēdējais tika atklāts uzbrukumos vēl 2024. gada septembrī.

SingleCamper RAT ir jaunākā iterācija

SingleCamper, jaunākā RomCom RAT iterācija, ir paredzēta dažādām darbībām pēc kompromisa. Šīs darbības ietver Plink rīka lejupielādi no PuTTY, lai izveidotu attālus tuneļus ar pretinieka kontrolētu infrastruktūru, tīkla izlūkošanas veikšanu, sānu kustības atvieglošanu, lietotāju un sistēmu atklāšanu un datu izfiltrēšanu.

Šķiet, ka šī konkrētā uzbrukumu sērija, kas vērsta pret augsta līmeņa Ukrainas vienībām, atbilst UAT-5647 divkāršajai stratēģijai: nodrošināt ilgtermiņa piekļuvi un iegūt datus uz ilgāku laiku, lai atbalstītu spiegošanas mērķus, un, iespējams, pagriezties uz izspiedējprogrammatūras izvietošanu, lai pārtrauktu. darbību un finansiālu labumu no kompromisa.

Turklāt, visticamāk, mērķauditorija bija arī Polijas subjekti, kā liecina ļaunprātīgas programmatūras veiktās tastatūras valodas pārbaudes.

Ukraina joprojām ir sarežģītas ļaunprātīgas programmatūras uzbrukumu mērķis

Šis paziņojums seko Ukrainas Datoravārijas reaģēšanas komandas (CERT-UA) brīdinājumam par kiberuzbrukumiem, ko veicis apdraudējuma dalībnieks, kas pazīstams ar nosaukumu UAC-0050, kurš vēršas pie sensitīvas informācijas un līdzekļiem, izmantojot dažādas ļaunprātīgas programmatūras grupas, tostarp Remcos RAT , SectopRAT. , Xeno RAT, Lumma Stealer, Mars Stealer un Meduza Stealer .

UAC-0050 finanšu zādzību operācijas ir vērstas uz līdzekļu zagšanu no Ukrainas uzņēmumiem un privātajiem uzņēmējiem. Tas tiek panākts, iegūstot nesankcionētu piekļuvi grāmatvežu datoriem, izmantojot tālvadības rīkus, piemēram, Remcos un TEKTONITRMS.

No 2024. gada septembra līdz oktobrim UAC-0050 veica vismaz 30 šādus uzbrukumus, kas ietvēra viltotu finanšu darījumu izveidi, izmantojot attālās banku sistēmas, kuru summas svārstās no desmitiem tūkstošu līdz vairākiem miljoniem UAH.

Turklāt CERT-UA ir ziņojis, ka ir novērojis mēģinājumus izplatīt krāpnieciskus ziņojumus, izmantojot @reserveplusbot kontu Telegram ziņojumapmaiņas platformā, lai izvietotu Meduza Stealer ļaunprogrammatūru, aizsedzot ar īpašas programmatūras instalēšanu.