SingleCamper RAT

Den russiske trusselaktøren kjent som RomCom har vært knyttet til en ny bølge av cyberangrep rettet mot ukrainske myndigheter og ukjente polske enheter siden minst slutten av 2023.

Innbruddene er preget av bruk av en variant av RomCom RAT kalt SingleCamper (aka SnipBot eller RomCom 5.0). Infosec-forskere overvåker aktivitetsklyngen under navnet UAT-5647. Denne versjonen lastes direkte fra registret til minnet og bruker en loopback-adresse for å kommunisere med lasteren.

Denne trusselskuespilleren har lansert en rekke angrepskampanjer

RomCom, også kjent under aliaser som Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 og Void Rabisu, har vært involvert i ulike cyberoperasjoner siden fremveksten i 2022. Disse operasjonene inkluderer løsepengevare-angrep, utpressingsordninger og målrettede operasjoner. innsamling av legitimasjon.

Nylige vurderinger indikerer en merkbar økning i angrepsfrekvensen deres, med fokus på å etablere langsiktig tilgang til kompromitterte nettverk og trekke ut verdifulle data, noe som peker på en spionasjedrevet agenda.

Til støtte for dette utvider RomCom angivelig verktøysettet og infrastrukturen sin, og inkluderer et bredt spekter av skadevarekomponenter bygget ved hjelp av flere programmeringsspråk og plattformer, inkludert C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) og Lua (DROPCLUE) .

Spyd-phishing-taktikker for å kompromittere målene

Angrepssekvensene begynner med en spyd-phishing-e-post som leverer en nedlaster, som kan være skrevet i enten C++ (MeltingClaw) eller Rust (RustyClaw). Denne nedlasteren er ansvarlig for å distribuere ShadyHammock- og DustyHammock-bakdørene, mens et lokkedokument vises til mottakeren for å opprettholde bedraget.

DustyHammock er designet for å kommunisere med en Command-and-Control-server (C2), utføre vilkårlige kommandoer og laste ned filer fra den. Derimot fungerer ShadyHammock som en plattform for lansering av SingleCamper og overvåking av innkommende kommandoer.

Til tross for tilleggsfunksjonene til ShadyHammock, regnes den som en forgjenger til DustyHammock, ettersom sistnevnte har blitt oppdaget i angrep så sent som i september 2024.

SingleCamper RAT er den siste iterasjonen

SingleCamper, den siste iterasjonen av RomCom RAT, er designet for ulike aktiviteter etter kompromisser. Disse aktivitetene inkluderer nedlasting av Plink-verktøyet fra PuTTY for å lage eksterne tunneler med motstanderkontrollert infrastruktur, utføre nettverksrekognosering, tilrettelegge for sideveis bevegelse, oppdage brukere og systemer og eksfiltrere data.

Denne spesielle serien med angrep, rettet mot høyprofilerte ukrainske enheter, ser ut til å stemme overens med UAT-5647s todelte strategi: å etablere langsiktig tilgang og trekke ut data i lengre perioder for å støtte spionasjemål og potensielt dreie seg om utplassering av løsepengevare for å forstyrre drift og tjene økonomisk på kompromisset.

I tillegg er det sannsynlig at polske enheter også ble målrettet, som indikert av tastaturspråkkontrollene utført av skadelig programvare.

Ukraina er fortsatt målet for sofistikerte skadelig programvareangrep

Kunngjøringen følger en advarsel fra Computer Emergency Response Team of Ukraine (CERT-UA) angående cyberangrep utført av en trusselaktør kjent som UAC-0050, som retter seg mot sensitiv informasjon og midler ved å bruke ulike malware-familier, inkludert Remcos RAT , SectopRAT , Xeno RAT, Lumma Stealer, Mars Stealer og Meduza Stealer .

UAC-0050s økonomiske tyveri fokuserer på å stjele midler fra ukrainske bedrifter og private gründere. Dette oppnås ved å få uautorisert tilgang til regnskapsførernes datamaskiner gjennom fjernkontrollverktøy som Remcos og TEKTONITRMS.

Mellom september og oktober 2024 utførte UAC-0050 minst 30 slike angrep, som innebar å skape falske finansielle transaksjoner gjennom eksterne banksystemer, med beløp fra titusenvis til flere millioner UAH.

I tillegg har CERT-UA rapportert å observere forsøk på å spre uredelige meldinger via @reserveplusbot-kontoen på Telegram-meldingsplattformen, med sikte på å distribuere Meduza Stealer malware under dekke av å installere spesiell programvare.