ਸਿੰਗਲਕੈਂਪਰ RAT
ਰੋਮਕਾਮ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਰੂਸੀ ਧਮਕੀ ਅਭਿਨੇਤਾ ਨੂੰ ਘੱਟੋ ਘੱਟ 2023 ਦੇ ਅਖੀਰ ਤੋਂ ਯੂਕਰੇਨੀ ਸਰਕਾਰੀ ਏਜੰਸੀਆਂ ਅਤੇ ਅਣਜਾਣ ਪੋਲਿਸ਼ ਸੰਸਥਾਵਾਂ ਦੇ ਉਦੇਸ਼ ਨਾਲ ਸਾਈਬਰ ਹਮਲਿਆਂ ਦੀ ਇੱਕ ਨਵੀਂ ਲਹਿਰ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ।
ਘੁਸਪੈਠ ਨੂੰ RomCom RAT ਡੱਬ ਕੀਤੇ ਸਿੰਗਲਕੈਮਪਰ (ਉਰਫ਼ SnipBot ਜਾਂ RomCom 5.0) ਦੇ ਇੱਕ ਰੂਪ ਦੀ ਵਰਤੋਂ ਦੁਆਰਾ ਦਰਸਾਇਆ ਗਿਆ ਹੈ। Infosec ਖੋਜਕਰਤਾ ਮੋਨੀਕਰ UAT-5647 ਦੇ ਅਧੀਨ ਗਤੀਵਿਧੀ ਕਲੱਸਟਰ ਦੀ ਨਿਗਰਾਨੀ ਕਰ ਰਹੇ ਹਨ। ਇਹ ਸੰਸਕਰਣ ਰਜਿਸਟਰੀ ਤੋਂ ਸਿੱਧਾ ਮੈਮੋਰੀ ਵਿੱਚ ਲੋਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ ਇਸਦੇ ਲੋਡਰ ਨਾਲ ਸੰਚਾਰ ਕਰਨ ਲਈ ਇੱਕ ਲੂਪਬੈਕ ਪਤੇ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਇਸ ਧਮਕੀ ਅਦਾਕਾਰ ਨੇ ਕਈ ਹਮਲੇ ਮੁਹਿੰਮਾਂ ਸ਼ੁਰੂ ਕੀਤੀਆਂ ਹਨ
ਰੋਮਕਾਮ, ਜਿਸਨੂੰ ਸਟੋਰਮ-0978, ਟ੍ਰੋਪਿਕਲ ਸਕਾਰਪਿਅਸ, UAC-0180, UNC2596, ਅਤੇ ਵੌਇਡ ਰਬੀਸੂ ਵਰਗੇ ਉਪਨਾਮਾਂ ਦੁਆਰਾ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, 2022 ਵਿੱਚ ਇਸਦੇ ਉਭਰਨ ਤੋਂ ਬਾਅਦ ਵੱਖ-ਵੱਖ ਸਾਈਬਰ ਓਪਰੇਸ਼ਨਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਰਿਹਾ ਹੈ। ਇਹਨਾਂ ਓਪਰੇਸ਼ਨਾਂ ਵਿੱਚ ਰੈਨਸਮਵੇਅਰ ਹਮਲੇ, ਜਬਰੀ ਵਸੂਲੀ ਸਕੀਮਾਂ ਅਤੇ ਨਿਸ਼ਾਨਾ ਸ਼ਾਮਲ ਹਨ। ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦਾ ਸੰਗ੍ਰਹਿ।
ਹਾਲੀਆ ਮੁਲਾਂਕਣ ਜਾਸੂਸੀ-ਸੰਚਾਲਿਤ ਏਜੰਡੇ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਦੇ ਹੋਏ, ਸਮਝੌਤਾ ਕੀਤੇ ਨੈਟਵਰਕਾਂ ਤੱਕ ਲੰਬੇ ਸਮੇਂ ਦੀ ਪਹੁੰਚ ਸਥਾਪਤ ਕਰਨ ਅਤੇ ਕੀਮਤੀ ਡੇਟਾ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨ 'ਤੇ ਧਿਆਨ ਕੇਂਦ੍ਰਤ ਕਰਦੇ ਹੋਏ, ਉਨ੍ਹਾਂ ਦੇ ਹਮਲੇ ਦੀ ਬਾਰੰਬਾਰਤਾ ਵਿੱਚ ਧਿਆਨ ਦੇਣ ਯੋਗ ਵਾਧਾ ਦਰਸਾਉਂਦੇ ਹਨ।
ਇਸਦੇ ਸਮਰਥਨ ਵਿੱਚ, ਰੋਮਕਾਮ ਕਥਿਤ ਤੌਰ 'ਤੇ ਆਪਣੀ ਟੂਲਕਿੱਟ ਅਤੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦਾ ਵਿਸਤਾਰ ਕਰ ਰਿਹਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਕਈ ਪ੍ਰੋਗਰਾਮਿੰਗ ਭਾਸ਼ਾਵਾਂ ਅਤੇ ਪਲੇਟਫਾਰਮਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਬਣਾਏ ਗਏ ਮਾਲਵੇਅਰ ਕੰਪੋਨੈਂਟਸ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਸ਼ਾਮਲ ਕੀਤੀ ਗਈ ਹੈ, ਜਿਸ ਵਿੱਚ C++ (ਸ਼ੈਡੀਹੈਮੌਕ), ਰਸਟ (ਡਸਟੀਹੈਮੌਕ), ਗੋ (ਗਲੂਈਜੀਜੀ), ਅਤੇ ਲੁਆ (ਡ੍ਰੌਪਕਲਿਊ) ਸ਼ਾਮਲ ਹਨ। .
ਟੀਚਿਆਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਲਈ ਬਰਛੀ-ਫਿਸ਼ਿੰਗ ਰਣਨੀਤੀਆਂ
ਹਮਲੇ ਦੇ ਕ੍ਰਮ ਇੱਕ ਬਰਛੇ-ਫਿਸ਼ਿੰਗ ਈਮੇਲ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੇ ਹਨ ਜੋ ਇੱਕ ਡਾਊਨਲੋਡਰ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ C++ (MeltingClaw) ਜਾਂ Rust (RustyClaw) ਵਿੱਚ ਲਿਖਿਆ ਜਾ ਸਕਦਾ ਹੈ। ਇਹ ਡਾਊਨਲੋਡਰ ShadyHammock ਅਤੇ DustyHammock ਬੈਕਡੋਰਸ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ, ਜਦੋਂ ਕਿ ਧੋਖੇ ਨੂੰ ਬਰਕਰਾਰ ਰੱਖਣ ਲਈ ਪ੍ਰਾਪਤਕਰਤਾ ਨੂੰ ਇੱਕ ਡੀਕੋਏ ਦਸਤਾਵੇਜ਼ ਪ੍ਰਦਰਸ਼ਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
DustyHammock ਨੂੰ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਕਰਨ, ਆਰਬਿਟਰਰੀ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਅਤੇ ਇਸ ਤੋਂ ਫਾਈਲਾਂ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਸਦੇ ਉਲਟ, ਸ਼ੈਡੀਹੈਮੌਕ ਸਿੰਗਲਕੈਮਪਰ ਨੂੰ ਲਾਂਚ ਕਰਨ ਅਤੇ ਆਉਣ ਵਾਲੀਆਂ ਕਮਾਂਡਾਂ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨ ਲਈ ਇੱਕ ਪਲੇਟਫਾਰਮ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ।
ਸ਼ੈਡੀਹੈਮੌਕ ਦੀਆਂ ਵਾਧੂ ਸਮਰੱਥਾਵਾਂ ਦੇ ਬਾਵਜੂਦ, ਇਸਨੂੰ ਡਸਟੀਹੈਮੌਕ ਦਾ ਪੂਰਵਗਾਮੀ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ, ਕਿਉਂਕਿ ਬਾਅਦ ਵਾਲੇ ਨੂੰ ਸਤੰਬਰ 2024 ਦੇ ਹਮਲਿਆਂ ਵਿੱਚ ਖੋਜਿਆ ਗਿਆ ਹੈ।
ਸਿੰਗਲਕੈਂਪਰ RAT ਨਵੀਨਤਮ ਦੁਹਰਾਓ ਹੈ
ਸਿੰਗਲਕੈਮਪਰ, ਰੋਮਕੌਮ ਆਰਏਟੀ ਦਾ ਨਵੀਨਤਮ ਦੁਹਰਾਓ, ਕਈ ਪੋਸਟ-ਸਮਝੌਤੇ ਦੀਆਂ ਗਤੀਵਿਧੀਆਂ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹਨਾਂ ਗਤੀਵਿਧੀਆਂ ਵਿੱਚ ਵਿਰੋਧੀ-ਨਿਯੰਤਰਿਤ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਨਾਲ ਰਿਮੋਟ ਟਨਲ ਬਣਾਉਣ ਲਈ ਪੁਟੀਟੀ ਤੋਂ ਪਲਿੰਕ ਟੂਲ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨਾ, ਨੈਟਵਰਕ ਰੀਕੋਨੇਸੈਂਸ ਦਾ ਸੰਚਾਲਨ ਕਰਨਾ, ਪਾਸੇ ਦੀ ਗਤੀ ਦੀ ਸਹੂਲਤ, ਉਪਭੋਗਤਾਵਾਂ ਅਤੇ ਪ੍ਰਣਾਲੀਆਂ ਦੀ ਖੋਜ ਕਰਨਾ ਅਤੇ ਡੇਟਾ ਨੂੰ ਬਾਹਰ ਕੱਢਣਾ ਸ਼ਾਮਲ ਹੈ।
ਹਮਲਿਆਂ ਦੀ ਇਹ ਵਿਸ਼ੇਸ਼ ਲੜੀ, ਉੱਚ-ਪ੍ਰੋਫਾਈਲ ਯੂਕਰੇਨੀ ਸੰਸਥਾਵਾਂ ਦੇ ਉਦੇਸ਼ ਨਾਲ, UAT-5647 ਦੀ ਦੋ-ਗੁਣਾ ਰਣਨੀਤੀ ਨਾਲ ਮੇਲ ਖਾਂਦੀ ਪ੍ਰਤੀਤ ਹੁੰਦੀ ਹੈ: ਜਾਸੂਸੀ ਟੀਚਿਆਂ ਦਾ ਸਮਰਥਨ ਕਰਨ ਲਈ ਲੰਬੇ ਸਮੇਂ ਤੱਕ ਪਹੁੰਚ ਸਥਾਪਤ ਕਰਨ ਅਤੇ ਡੇਟਾ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨ ਲਈ ਅਤੇ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਰੈਨਸਮਵੇਅਰ ਤੈਨਾਤੀ ਨੂੰ ਵਿਗਾੜਨ ਲਈ ਧਰੁਵ ਕਰਨਾ। ਸੰਚਾਲਨ ਅਤੇ ਸਮਝੌਤੇ ਤੋਂ ਵਿੱਤੀ ਤੌਰ 'ਤੇ ਲਾਭ ਪ੍ਰਾਪਤ ਕਰਨਾ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਸੰਭਾਵਨਾ ਹੈ ਕਿ ਪੋਲਿਸ਼ ਸੰਸਥਾਵਾਂ ਨੂੰ ਵੀ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਗਿਆ ਸੀ, ਜਿਵੇਂ ਕਿ ਮਾਲਵੇਅਰ ਦੁਆਰਾ ਕੀਤੇ ਗਏ ਕੀਬੋਰਡ ਭਾਸ਼ਾ ਜਾਂਚਾਂ ਦੁਆਰਾ ਦਰਸਾਇਆ ਗਿਆ ਹੈ।
ਯੂਕਰੇਨ ਆਧੁਨਿਕ ਮਾਲਵੇਅਰ ਹਮਲਿਆਂ ਦਾ ਨਿਸ਼ਾਨਾ ਬਣਿਆ ਹੋਇਆ ਹੈ
ਇਹ ਘੋਸ਼ਣਾ ਯੂਕਰੇਨ ਦੀ ਕੰਪਿਊਟਰ ਐਮਰਜੈਂਸੀ ਰਿਸਪਾਂਸ ਟੀਮ (CERT-UA) ਵੱਲੋਂ UAC-0050 ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਖ਼ਤਰੇ ਵਾਲੇ ਅਭਿਨੇਤਾ ਦੁਆਰਾ ਕੀਤੇ ਗਏ ਸਾਈਬਰ ਹਮਲਿਆਂ ਦੇ ਸਬੰਧ ਵਿੱਚ ਇੱਕ ਚੇਤਾਵਨੀ ਤੋਂ ਬਾਅਦ ਹੈ, ਜੋ ਕਿ ਕਈ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਅਤੇ ਫੰਡਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਿਹਾ ਹੈ, ਜਿਸ ਵਿੱਚ Remcos RAT , SectopRAT ਸ਼ਾਮਲ ਹਨ। , Xeno RAT, ਲੂਮਾ ਸਟੀਲਰ, ਮਾਰਸ ਸਟੀਲਰ ਅਤੇ ਮੇਡੂਜ਼ਾ ਸਟੀਲਰ ।
UAC-0050 ਦੇ ਵਿੱਤੀ ਚੋਰੀ ਦੀਆਂ ਕਾਰਵਾਈਆਂ ਯੂਕਰੇਨੀ ਕਾਰੋਬਾਰਾਂ ਅਤੇ ਨਿੱਜੀ ਉੱਦਮੀਆਂ ਤੋਂ ਫੰਡ ਚੋਰੀ ਕਰਨ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਹਨ। ਇਹ Remcos ਅਤੇ TEKTONITRMS ਵਰਗੇ ਰਿਮੋਟ ਕੰਟਰੋਲ ਟੂਲਸ ਦੁਆਰਾ ਅਕਾਊਂਟੈਂਟਸ ਦੇ ਕੰਪਿਊਟਰਾਂ ਤੱਕ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਕੇ ਪ੍ਰਾਪਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
ਸਤੰਬਰ ਅਤੇ ਅਕਤੂਬਰ 2024 ਦੇ ਵਿਚਕਾਰ, UAC-0050 ਨੇ ਘੱਟੋ-ਘੱਟ 30 ਅਜਿਹੇ ਹਮਲਿਆਂ ਨੂੰ ਅੰਜਾਮ ਦਿੱਤਾ, ਜਿਸ ਵਿੱਚ ਰਿਮੋਟ ਬੈਂਕਿੰਗ ਪ੍ਰਣਾਲੀਆਂ ਰਾਹੀਂ ਜਾਅਲੀ ਵਿੱਤੀ ਲੈਣ-ਦੇਣ ਕਰਨਾ ਸ਼ਾਮਲ ਸੀ, ਜਿਸ ਦੀ ਰਕਮ ਹਜ਼ਾਰਾਂ ਤੋਂ ਕਈ ਮਿਲੀਅਨ UAH ਤੱਕ ਸੀ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, CERT-UA ਨੇ ਟੈਲੀਗ੍ਰਾਮ ਮੈਸੇਜਿੰਗ ਪਲੇਟਫਾਰਮ 'ਤੇ @reserveplusbot ਖਾਤੇ ਰਾਹੀਂ ਧੋਖਾਧੜੀ ਵਾਲੇ ਸੰਦੇਸ਼ਾਂ ਨੂੰ ਫੈਲਾਉਣ ਦੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ ਨੂੰ ਦੇਖਣ ਦੀ ਰਿਪੋਰਟ ਕੀਤੀ ਹੈ, ਜਿਸ ਦਾ ਉਦੇਸ਼ ਵਿਸ਼ੇਸ਼ ਸੌਫਟਵੇਅਰ ਸਥਾਪਤ ਕਰਨ ਦੀ ਆੜ ਵਿੱਚ ਮੇਡੂਜ਼ਾ ਸਟੀਲਰ ਮਾਲਵੇਅਰ ਨੂੰ ਤੈਨਾਤ ਕਰਨਾ ਹੈ।
ਉਪਨਾਮ
2 ਸੁਰੱਖਿਆ ਵਿਕਰੇਤਾਵਾਂ ਨੇ ਇਸ ਫਾਈਲ ਨੂੰ ਖਤਰਨਾਕ ਵਜੋਂ ਫਲੈਗ ਕੀਤਾ ਹੈ।
| ਐਂਟੀ-ਵਾਇਰਸ ਸਾਫਟਵੇਅਰ | ਖੋਜ |
|---|---|
| - | RomCom 5.0 |
| - | SnipBot |
