SingleCamper RAT

Rosyjski aktor zagrożeń znany jako RomCom jest powiązany z nową falą cyberataków wymierzonych w ukraińskie agencje rządowe i nieznane podmioty polskie, które mają miejsce co najmniej od końca 2023 roku.

Włamania charakteryzują się wykorzystaniem wariantu RomCom RAT nazwanego SingleCamper (znanego również jako SnipBot lub RomCom 5.0). Badacze Infosec monitorują klaster aktywności pod nazwą UAT-5647. Ta wersja jest ładowana bezpośrednio z rejestru do pamięci i używa adresu pętli zwrotnej do komunikacji z programem ładującym.

Ten aktor zagrożeń uruchomił liczne kampanie ataków

RomCom, znany również pod pseudonimami Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 i Void Rabisu, brał udział w różnych operacjach cybernetycznych od momentu powstania w 2022 r. Operacje te obejmują ataki ransomware, schematy wymuszeń i ukierunkowane zbieranie danych uwierzytelniających.

Najnowsze oceny wskazują na zauważalny wzrost częstotliwości ataków, których celem jest uzyskanie długoterminowego dostępu do naruszonych sieci i wydobycie cennych danych, co wskazuje na to, że celem ataków jest szpiegostwo.

W związku z tym RomCom podobno rozszerza swój zestaw narzędzi i infrastrukturę, włączając szeroką gamę komponentów złośliwego oprogramowania stworzonych przy użyciu wielu języków programowania i platform, w tym C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) i Lua (DROPCLUE).

Taktyki spear-phishingu w celu skompromitowania celów

Sekwencje ataków zaczynają się od wiadomości e-mail typu spear-phishing, która dostarcza downloader, który może być napisany w C++ (MeltingClaw) lub Rust (RustyClaw). Ten downloader jest odpowiedzialny za wdrażanie tylnych furtek ShadyHammock i DustyHammock, podczas gdy odbiorcy wyświetlany jest dokument-przynęta, aby utrzymać oszustwo.

DustyHammock został zaprojektowany do komunikacji z serwerem Command-and-Control (C2), wykonywania dowolnych poleceń i pobierania z niego plików. Natomiast ShadyHammock działa jako platforma do uruchamiania SingleCamper i monitorowania przychodzących poleceń.

Mimo dodatkowych możliwości ShadyHammock jest uważany za poprzednika DustyHammock, ponieważ ataki na niego wykryto dopiero we wrześniu 2024 r.

SingleCamper RAT to najnowsza wersja

SingleCamper, najnowsza wersja RomCom RAT, jest przeznaczona do różnych działań po włamaniu. Działania te obejmują pobieranie narzędzia Plink z PuTTY w celu tworzenia zdalnych tuneli z infrastrukturą kontrolowaną przez przeciwnika, przeprowadzanie rozpoznania sieci, ułatwianie ruchu bocznego, odkrywanie użytkowników i systemów oraz eksfiltrację danych.

Ta konkretna seria ataków, wymierzona w znane ukraińskie podmioty, wydaje się być zgodna z dwutorową strategią UAT-5647: ustanowienie długoterminowego dostępu i ekstrakcja danych na dłuższy czas w celu wsparcia celów szpiegowskich, a potencjalnie przejście do wdrażania oprogramowania ransomware w celu zakłócenia działalności i osiągnięcia korzyści finansowych z włamania.

Ponadto prawdopodobne jest, że celem ataków stały się również podmioty polskie, o czym świadczą kontrole języka klawiatury przeprowadzone przez złośliwe oprogramowanie.

Ukraina nadal celem wyrafinowanych ataków malware

Oświadczenie to jest następstwem ostrzeżenia wydanego przez ukraiński Zespół Reagowania na Incydenty Komputerowe (CERT-UA) dotyczącego cyberataków przeprowadzanych przez cyberprzestępcę znanego jako UAC-0050, który ma na celu wykradanie poufnych informacji i funduszy przy użyciu różnych rodzin złośliwego oprogramowania, w tym Remcos RAT , SectopRAT, Xeno RAT, Lumma Stealer, Mars Stealer i Meduza Stealer .

Operacje kradzieży finansowej UAC-0050 koncentrują się na kradzieży funduszy z ukraińskich firm i prywatnych przedsiębiorców. Osiąga się to poprzez uzyskanie nieautoryzowanego dostępu do komputerów księgowych za pomocą narzędzi zdalnego sterowania, takich jak Remcos i TEKTONITRMS.

Między wrześniem a październikiem 2024 r. UAC-0050 przeprowadził co najmniej 30 takich ataków, które polegały na tworzeniu fałszywych transakcji finansowych za pośrednictwem zdalnych systemów bankowych na kwoty od dziesiątek tysięcy do kilku milionów UAH.

Dodatkowo CERT-UA poinformował o zaobserwowanych próbach rozprzestrzeniania fałszywych wiadomości za pośrednictwem konta @reserveplusbot na platformie komunikacyjnej Telegram. Celem prób było wdrożenie złośliwego oprogramowania Meduza Stealer pod przykrywką instalacji specjalnego oprogramowania.