सिंगल क्याम्पर RAT

रोमकम भनेर चिनिने रुसी खतरा अभिनेता युक्रेनी सरकारी एजेन्सीहरू र अज्ञात पोलिश संस्थाहरूलाई लक्षित गरी कम्तिमा २०२३ को अन्त्यदेखि साइबर आक्रमणको नयाँ लहरसँग जोडिएको छ।

घुसपैठहरू RomCom RAT डब गरिएको SingleCamper (उर्फ SnipBot वा RomCom 5.0) को एक संस्करणको प्रयोगद्वारा विशेषता गरिन्छ। इन्फोसेक अनुसन्धानकर्ताहरूले मोनिकर UAT-5647 अन्तर्गत गतिविधि क्लस्टरको निगरानी गरिरहेका छन्। यो संस्करण सिधै रजिस्ट्रीबाट मेमोरीमा लोड हुन्छ र यसको लोडरसँग सञ्चार गर्न लुपब्याक ठेगाना प्रयोग गर्दछ।

यो धम्की अभिनेताले धेरै आक्रमण अभियानहरू सुरु गरेको छ

RomCom, जसलाई Storm-0978, Tropical Scorpius, UAC-0180, UNC2596, र Void Rabisu जस्ता उपनामहरूले पनि चिनिन्छ, २०२२ मा यसको उदय भएदेखि नै विभिन्न साइबर अपरेशनहरूमा संलग्न रहेको छ। यी अपरेसनहरूमा ransomware आक्रमणहरू, जबरजस्ती करणी योजनाहरू, र लक्षित समावेश छन्। प्रमाणहरूको सङ्कलन।

हालको मूल्याङ्कनहरूले तिनीहरूको आक्रमण आवृत्तिमा उल्लेखनीय वृद्धिलाई संकेत गर्दछ, सम्झौता गरिएका नेटवर्कहरूमा दीर्घकालीन पहुँच स्थापना गर्न र मूल्यवान डाटा निकाल्ने, जासुसी-संचालित एजेन्डालाई औंल्याउँदै।

यसको समर्थनमा, रोमकमले कथित रूपमा यसको टुलकिट र पूर्वाधार विस्तार गरिरहेको छ, धेरै प्रोग्रामिङ भाषाहरू र प्लेटफर्महरू प्रयोग गरेर निर्मित मालवेयर कम्पोनेन्टहरूको विस्तृत श्रृंखला समावेश गर्दै, जसमा C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEEGG), र Lua (DROPCLUE) समावेश छ। ।

लक्ष्यहरू सम्झौता गर्न भाला-फिशिङ रणनीतिहरू

आक्रमणको क्रमहरू भाला-फिशिङ इमेलबाट सुरु हुन्छ जसले डाउनलोडरलाई डेलिभर गर्छ, जुन C++ (MeltingClaw) वा Rust (RustyClaw) मा लेखिएको हुन सक्छ। यो डाउनलोडर ShadyHammock र DustyHammock ब्याकडोरहरू तैनाथ गर्न जिम्मेवार छ, जबकि धोखा कायम राख्न प्रापकलाई डिकोय कागजात देखाइन्छ।

DustyHammock कमाण्ड-एण्ड-कन्ट्रोल (C2) सर्भरसँग सञ्चार गर्न, मनमानी आदेशहरू कार्यान्वयन गर्न र यसबाट फाइलहरू डाउनलोड गर्न डिजाइन गरिएको हो। यसको विपरित, ShadyHammock एकल क्याम्पर सुरु गर्न र आगमन आदेशहरू निगरानी गर्न प्लेटफर्मको रूपमा कार्य गर्दछ।

ShadyHammock को अतिरिक्त क्षमताहरु को बावजुद, यो DustyHammock को एक पूर्ववर्ती मानिन्छ, पछि सेप्टेम्बर 2024 को रूपमा हालैको आक्रमण मा पत्ता लगाइएको छ।

SingleCamper RAT पछिल्लो पुनरावृत्ति हो

SingleCamper, RomCom RAT को पछिल्लो पुनरावृत्ति, विभिन्न पोस्ट-सम्झौता गतिविधिहरूको लागि डिजाइन गरिएको हो। यी गतिविधिहरूमा विरोधी-नियन्त्रित पूर्वाधारको साथ रिमोट टनेलहरू सिर्जना गर्न PuTTY बाट Plink उपकरण डाउनलोड गर्ने, नेटवर्क रिकोनिसेन्स सञ्चालन गर्ने, पार्श्व आन्दोलनको सुविधा दिने, प्रयोगकर्ताहरू र प्रणालीहरू पत्ता लगाउने र डेटा निकाल्ने समावेश छ।

उच्च-प्रोफाइल युक्रेनी निकायहरूमा लक्षित आक्रमणहरूको यो विशेष श्रृंखला UAT-5647 को दुई-गुणा रणनीतिसँग मिल्दोजुल्दो देखिन्छ: जासुसी लक्ष्यहरूलाई समर्थन गर्न लामो समयसम्म पहुँच स्थापित गर्न र विस्तारित अवधिको लागि डाटा निकाल्न र बाधा पुर्‍याउन ransomware तैनातीलाई सम्भावित रूपमा पिभोट गर्न। सञ्चालन र सम्झौताबाट आर्थिक लाभ।

थप रूपमा, यो सम्भव छ कि पोलिश संस्थाहरूलाई पनि लक्षित गरिएको थियो, जस्तै कि मालवेयर द्वारा संचालित किबोर्ड भाषा जाँचहरू द्वारा संकेत गरिएको थियो।

युक्रेन परिष्कृत मालवेयर आक्रमणको लक्ष्य रहन्छ

यो घोषणा UAC-0050 को रूपमा चिनिने खतरा अभिनेता द्वारा संचालित साइबर आक्रमणको सम्बन्धमा युक्रेनको कम्प्युटर आपतकालीन प्रतिक्रिया टोली (CERT-UA) को चेतावनी पछ्याइएको छ, जसले संवेदनशील जानकारी र विभिन्न मालवेयर परिवारहरू प्रयोग गरेर कोषलाई लक्षित गरिरहेको छ, Remcos RAT , SectopRAT लगायत। , Xeno RAT, Lumma Steiler, The Mars Steiler र Meduza Steiler ।

UAC-0050 को वित्तीय चोरी कार्यहरू युक्रेनी व्यवसायहरू र निजी उद्यमीहरूबाट कोष चोरीमा केन्द्रित छन्। Remcos र TEKTONITRMS जस्ता रिमोट कन्ट्रोल उपकरणहरू मार्फत लेखापालहरूको कम्प्युटरहरूमा अनाधिकृत पहुँच प्राप्त गरेर यो हासिल गरिएको हो।

सेप्टेम्बर र अक्टोबर 2024 को बीचमा, UAC-0050 ले कम्तिमा 30 वटा आक्रमणहरू निष्पादित गर्यो, जसमा रिमोट बैंकिङ प्रणालीहरू मार्फत नक्कली वित्तीय लेनदेनहरू सिर्जना गरिएको थियो, जसको रकम दशौं हजारदेखि धेरै मिलियन UAH सम्म थियो।

थप रूपमा, CERT-UA ले टेलीग्राम सन्देश प्लेटफर्ममा @reserveplusbot खाता मार्फत धोखाधडी सन्देशहरू फैलाउने प्रयासहरू अवलोकन गरेको रिपोर्ट गरेको छ, विशेष सफ्टवेयर स्थापना गर्ने आडमा Meduza Stealer मालवेयर प्रयोग गर्ने लक्ष्य राख्दै।