TIKUS SingleCamper

Pelakon ancaman Rusia yang dikenali sebagai RomCom telah dikaitkan dengan gelombang baharu serangan siber yang ditujukan kepada agensi kerajaan Ukraine dan entiti Poland yang tidak diketahui sejak sekurang-kurangnya lewat 2023.

Pencerobohan dicirikan oleh penggunaan varian RAT RomCom yang digelar SingleCamper (aka SnipBot atau RomCom 5.0). Penyelidik Infosec sedang memantau kelompok aktiviti di bawah nama UAT-5647. Versi ini dimuatkan terus dari registri ke dalam memori dan menggunakan alamat loopback untuk berkomunikasi dengan pemuatnya.

Pelakon Ancaman Ini Telah Melancarkan Banyak Kempen Serangan

RomCom, yang juga dikenali dengan alias seperti Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 dan Void Rabisu, telah terlibat dalam pelbagai operasi siber sejak kemunculannya pada 2022. Operasi ini termasuk serangan ransomware, skim pemerasan dan sasaran pengumpulan bukti kelayakan.

Penilaian terkini menunjukkan peningkatan ketara dalam kekerapan serangan mereka, dengan tumpuan untuk mewujudkan akses jangka panjang kepada rangkaian yang terjejas dan mengekstrak data berharga, menunjuk kepada agenda yang didorong oleh pengintipan.

Bagi menyokong perkara ini, RomCom dilaporkan mengembangkan kit alat dan infrastrukturnya, menggabungkan pelbagai komponen perisian hasad yang dibina menggunakan berbilang bahasa pengaturcaraan dan platform, termasuk C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) dan Lua (DROPCLUE) .

Taktik Spear-phishing untuk Mengkompromi Sasaran

Urutan serangan bermula dengan e-mel spear-phishing yang menghantar pemuat turun, yang mungkin ditulis sama ada dalam C++ (MeltingClaw) atau Rust (RustyClaw). Pemuat turun ini bertanggungjawab untuk menggunakan pintu belakang ShadyHammock dan DustyHammock, manakala dokumen tipuan dipaparkan kepada penerima untuk mengekalkan penipuan.

DustyHammock direka untuk berkomunikasi dengan pelayan Command-and-Control (C2), melaksanakan arahan sewenang-wenangnya dan memuat turun fail daripadanya. Sebaliknya, ShadyHammock berfungsi sebagai platform untuk melancarkan SingleCamper dan memantau arahan masuk.

Walaupun keupayaan tambahan ShadyHammock, ia dianggap sebagai pendahulu kepada DustyHammock, kerana yang kedua telah dikesan dalam serangan baru-baru ini pada September 2024.

SingleCamper RAT ialah Lelaran Terkini

SingleCamper, lelaran terbaru RomCom RAT, direka untuk pelbagai aktiviti selepas kompromi. Aktiviti ini termasuk memuat turun alat Plink daripada PuTTY untuk mencipta terowong jauh dengan infrastruktur yang dikawal oleh musuh, menjalankan peninjauan rangkaian, memudahkan pergerakan sisi, menemui pengguna dan sistem dan mengeksfiltrasi data.

Siri serangan khusus ini, yang ditujukan kepada entiti Ukraine berprofil tinggi, nampaknya sejajar dengan strategi dua kali ganda UAT-5647: untuk mewujudkan akses jangka panjang dan mengekstrak data untuk tempoh yang berpanjangan untuk menyokong matlamat pengintipan dan berkemungkinan beralih kepada penyebaran perisian tebusan untuk mengganggu operasi dan mendapat keuntungan dari segi kewangan daripada kompromi itu.

Selain itu, kemungkinan besar entiti Poland turut disasarkan, seperti yang ditunjukkan oleh semakan bahasa papan kekunci yang dijalankan oleh perisian hasad.

Ukraine Kekal Sasaran Serangan Perisian Hasad Canggih

Pengumuman itu susulan amaran daripada Pasukan Tindak Balas Kecemasan Komputer Ukraine (CERT-UA) mengenai serangan siber yang dilakukan oleh pelakon ancaman yang dikenali sebagai UAC-0050, yang menyasarkan maklumat dan dana sensitif menggunakan pelbagai keluarga perisian hasad, termasuk RAT Remcos , SectopRAT. , Xeno RAT, Lumma Stealer, Mars Stealer dan Meduza Stealer .

Operasi kecurian kewangan UAC-0050 memberi tumpuan kepada mencuri dana daripada perniagaan Ukraine dan usahawan swasta. Ini dicapai dengan mendapatkan akses tanpa kebenaran kepada komputer akauntan melalui alat kawalan jauh seperti Remcos dan TEKTONITRMS.

Antara September dan Oktober 2024, UAC-0050 telah melaksanakan sekurang-kurangnya 30 serangan sedemikian, yang melibatkan penciptaan transaksi kewangan palsu melalui sistem perbankan jauh, dengan jumlah antara puluhan ribu hingga beberapa juta UAH.

Selain itu, CERT-UA telah melaporkan percubaan untuk menyebarkan mesej penipuan melalui akaun @reserveplusbot pada platform pemesejan Telegram, bertujuan untuk menggunakan perisian hasad Meduza Stealer dengan berselindung untuk memasang perisian khas.