SingleCamper RAT

O agente de ameaças russo conhecido como RomCom foi associado a uma nova onda de ataques cibernéticos direcionados a agências governamentais ucranianas e entidades polonesas desconhecidas desde pelo menos o final de 2023.

As intrusões são caracterizadas pelo uso de uma variante do RomCom RAT apelidado de SingleCamper (também conhecido como SnipBot ou RomCom 5.0). Pesquisadores de Infosec estão monitorando o cluster de atividade sob o apelido UAT-5647. Esta versão é carregada diretamente do registro para a memória e usa um endereço de loopback para se comunicar com seu carregador.

Este Autor de Ameaças Lançou Inúmeras Campanhas de Ataque

O RomCom, também conhecido por pseudônimos como Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 e Void Rabisu, está envolvido em várias operações cibernéticas desde seu surgimento em 2022. Essas operações incluem ataques de ransomware, esquemas de extorsão e coleta direcionada de credenciais.

Avaliações recentes indicam um aumento notável na frequência de ataques, com foco em estabelecer acesso de longo prazo a redes comprometidas e extrair dados valiosos, apontando para uma agenda orientada por espionagem.

Para dar suporte a isso, a RomCom está supostamente expandindo seu kit de ferramentas e infraestrutura, incorporando uma ampla gama de componentes de malware criados usando diversas linguagens de programação e plataformas, incluindo C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) e Lua (DROPCLUE).

Táticas de Spear-Phishing para Comprometer os Alvos

As sequências de ataque começam com um e-mail de spear-phishing que entrega um downloader, que pode ser escrito em C++ (MeltingClaw) ou Rust (RustyClaw). Este downloader é responsável por implantar os backdoors ShadyHammock e DustyHammock, enquanto um documento de isca é exibido ao destinatário para manter o engano.

DustyHammock é projetado para se comunicar com um servidor Command-and-Control (C2), executar comandos arbitrários e baixar arquivos dele. Em contraste, ShadyHammock funciona como uma plataforma para iniciar o SingleCamper e monitorar comandos de entrada.

Apesar dos recursos adicionais do ShadyHammock, ele é considerado um antecessor do DustyHammock, já que este último foi detectado em ataques até setembro de 2024.

O SingleCamper RAT é a Mais Recente Iteração

SingleCamper, a mais recente iteração do RomCom RAT, é projetado para várias atividades pós-comprometimento. Essas atividades incluem baixar a ferramenta Plink do PuTTY para criar túneis remotos com infraestrutura controlada pelo adversário, conduzir reconhecimento de rede, facilitar movimento lateral, descobrir usuários e sistemas e exfiltrar dados.

Essa série específica de ataques, direcionada a entidades ucranianas de alto perfil, parece estar alinhada à estratégia dupla do UAT-5647: estabelecer acesso de longo prazo e extrair dados por períodos prolongados para dar suporte a objetivos de espionagem e, potencialmente, recorrer à implantação de ransomware para interromper as operações e lucrar financeiramente com o comprometimento.

Além disso, é provável que entidades polonesas também tenham sido alvos, conforme indicado pelas verificações de idioma do teclado conduzidas pelo malware.

A Ucrânia continua sendo Alvo de Ataques Sofisticados de Malware

O anúncio segue um alerta da Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) sobre ataques cibernéticos conduzidos por um agente de ameaças conhecido como UAC-0050, que tem como alvo informações e fundos confidenciais usando várias famílias de malware, incluindo o Remcos RAT, o SectopRAT, o Xeno RAT, o Lumma Stealer, o Mars Stealer e o Meduza Stealer.

As operações de roubo financeiro do UAC-0050 se concentram em roubar fundos de empresas ucranianas e empreendedores privados. Isso é obtido obtendo acesso não autorizado aos computadores dos contadores por meio de ferramentas de controle remoto como Remcos e TEKTONITRMS.

Entre setembro e outubro de 2024, o UAC-0050 executou pelo menos 30 desses ataques, que envolveram a criação de transações financeiras falsas por meio de sistemas bancários remotos, com valores que variam de dezenas de milhares a vários milhões de UAH.

Além disso, o CERT-UA relatou ter observado tentativas de espalhar mensagens fraudulentas por meio da conta @reserveplusbot na plataforma de mensagens Telegram, com o objetivo de implantar o malware Meduza Stealer sob o pretexto de instalar um software especial.