SingleCamper RAT

De Russische cybercrimineel RomCom wordt sinds eind 2023 in verband gebracht met een nieuwe golf cyberaanvallen die gericht zijn op Oekraïense overheidsinstanties en onbekende Poolse entiteiten.

De intrusies worden gekenmerkt door het gebruik van een variant van de RomCom RAT genaamd SingleCamper (ook bekend als SnipBot of RomCom 5.0). Infosec-onderzoekers monitoren de activiteitencluster onder de naam UAT-5647. Deze versie wordt rechtstreeks vanuit het register in het geheugen geladen en gebruikt een loopback-adres om te communiceren met de lader.

Deze dreigingsactor heeft talloze aanvalscampagnes gelanceerd

RomCom, ook bekend onder aliassen zoals Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 en Void Rabisu, is sinds de opkomst in 2022 betrokken bij verschillende cyberoperaties. Deze operaties omvatten ransomware-aanvallen, afpersingspraktijken en het gericht verzamelen van inloggegevens.

Uit recente beoordelingen blijkt dat de frequentie van hun aanvallen merkbaar is toegenomen. De focus ligt daarbij op het verkrijgen van langetermijntoegang tot gecompromitteerde netwerken en het buitmaken van waardevolle gegevens. Dit wijst op een spionagegedreven agenda.

Ter ondersteuning hiervan breidt RomCom naar verluidt zijn toolkit en infrastructuur uit met een breed scala aan malwarecomponenten die zijn gebouwd met behulp van meerdere programmeertalen en platforms, waaronder C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) en Lua (DROPCLUE).

Spear-phishing-tactieken om de doelwitten te compromitteren

De aanvalssequenties beginnen met een spear-phishing e-mail die een downloader levert, die geschreven kan zijn in C++ (MeltingClaw) of Rust (RustyClaw). Deze downloader is verantwoordelijk voor het implementeren van de ShadyHammock en DustyHammock backdoors, terwijl een decoy document aan de ontvanger wordt getoond om de misleiding in stand te houden.

DustyHammock is ontworpen om te communiceren met een Command-and-Control (C2) server, willekeurige commando's uit te voeren en bestanden ervan te downloaden. ShadyHammock daarentegen functioneert als een platform voor het starten van SingleCamper en het monitoren van binnenkomende commando's.

Ondanks de extra mogelijkheden van ShadyHammock, wordt het gezien als een voorloper van DustyHammock. Deze laatste werd namelijk nog in september 2024 gedetecteerd bij aanvallen.

De SingleCamper RAT is de nieuwste versie

SingleCamper, de nieuwste versie van de RomCom RAT, is ontworpen voor verschillende post-compromise-activiteiten. Deze activiteiten omvatten het downloaden van de Plink-tool van PuTTY om externe tunnels te maken met door tegenstanders gecontroleerde infrastructuur, het uitvoeren van netwerkverkenning, het faciliteren van laterale beweging, het ontdekken van gebruikers en systemen en het exfiltreren van gegevens.

Deze specifieke reeks aanvallen, gericht op bekende Oekraïense entiteiten, lijkt aan te sluiten bij de tweeledige strategie van UAT-5647: het verkrijgen van langetermijntoegang en het extraheren van gegevens gedurende langere perioden ter ondersteuning van spionagedoeleinden en het mogelijk inzetten van ransomware om de bedrijfsvoering te verstoren en financieel voordeel te halen uit de inbreuk.

Daarnaast is het waarschijnlijk dat ook Poolse entiteiten het doelwit waren, zoals blijkt uit de taalcontroles die de malware op het toetsenbord heeft uitgevoerd.

Oekraïne blijft doelwit van geavanceerde malware-aanvallen

De aankondiging volgt op een waarschuwing van het Computer Emergency Response Team van Oekraïne (CERT-UA) over cyberaanvallen uitgevoerd door een kwaadwillende actor met de naam UAC-0050, die gevoelige informatie en fondsen aanvalt met behulp van verschillende malwarefamilies, waaronder de Remcos RAT , de SectopRAT, de Xeno RAT, de Lumma Stealer, de Mars Stealer en de Meduza Stealer .

De financiële diefstaloperaties van UAC-0050 richten zich op het stelen van fondsen van Oekraïense bedrijven en particuliere ondernemers. Dit wordt bereikt door ongeautoriseerde toegang te krijgen tot de computers van accountants via remote control tools zoals Remcos en TEKTONITRMS.

Tussen september en oktober 2024 voerde UAC-0050 minstens 30 van dergelijke aanvallen uit, waarbij nep-financiële transacties werden uitgevoerd via externe banksystemen, met bedragen variërend van tienduizenden tot enkele miljoenen Oekraïense hryvnia's.

Daarnaast heeft CERT-UA gemeld dat er pogingen zijn waargenomen om frauduleuze berichten te verspreiden via het @reserveplusbot-account op het Telegram-berichtenplatform. De bedoeling is om de Meduza Stealer-malware te verspreiden onder het mom van het installeren van speciale software.