SingleCamper RAT

Actorul rus de amenințări cunoscut sub numele de RomCom a fost legat de un nou val de atacuri cibernetice care vizează agențiile guvernamentale ucrainene și entitățile poloneze necunoscute de la cel puțin sfârșitul anului 2023.

Intruziunile sunt caracterizate prin utilizarea unei variante a RomCom RAT numită SingleCamper (aka SnipBot sau RomCom 5.0). Cercetătorii Infosec monitorizează clusterul de activitate sub monikerul UAT-5647. Această versiune este încărcată direct din registry în memorie și folosește o adresă loopback pentru a comunica cu încărcătorul său.

Acest actor de amenințări a lansat numeroase campanii de atac

RomCom, cunoscută și sub pseudonime precum Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 și Void Rabisu, a fost implicată în diverse operațiuni cibernetice de la apariția sa în 2022. Aceste operațiuni includ atacuri ransomware, scheme de extorcare și colectare de acreditări.

Evaluările recente indică o creștere vizibilă a frecvenței lor de atac, cu accent pe stabilirea accesului pe termen lung la rețelele compromise și pe extragerea de date valoroase, indicând o agendă bazată pe spionaj.

În sprijinul acestui lucru, RomCom își extinde setul de instrumente și infrastructura, încorporând o gamă largă de componente malware create folosind mai multe limbaje și platforme de programare, inclusiv C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) și Lua (DROPCLUE). .

Tactici de spear-phishing pentru a compromite țintele

Secvențele de atac încep cu un e-mail de tip spear-phishing care oferă un program de descărcare, care poate fi scris fie în C++ (MeltingClaw) fie în Rust (RustyClaw). Acest program de descărcare este responsabil pentru implementarea ușilor din spate ShadyHammock și DustyHammock, în timp ce destinatarului îi este afișat un document de momeală pentru a menține înșelăciunea.

DustyHammock este conceput pentru a comunica cu un server Command-and-Control (C2), pentru a executa comenzi arbitrare și pentru a descărca fișiere de pe acesta. În schimb, ShadyHammock funcționează ca o platformă pentru lansarea SingleCamper și monitorizarea comenzilor primite.

În ciuda capacităților suplimentare ale lui ShadyHammock, acesta este considerat un predecesor al DustyHammock, deoarece acesta din urmă a fost detectat în atacuri chiar din septembrie 2024.

SingleCamper RAT este cea mai recentă iterație

SingleCamper, cea mai recentă iterație a RomCom RAT, este concepută pentru diverse activități post-compromis. Aceste activități includ descărcarea instrumentului Plink de la PuTTY pentru a crea tuneluri la distanță cu infrastructură controlată de adversar, efectuarea de recunoaștere a rețelei, facilitarea mișcării laterale, descoperirea utilizatorilor și sistemelor și exfiltrarea datelor.

Această serie specială de atacuri, care vizează entități ucrainene de profil înalt, pare să se alinieze cu strategia dublă a UAT-5647: de a stabili acces pe termen lung și de a extrage date pentru perioade lungi pentru a sprijini obiectivele de spionaj și, potențial, să se orienteze către implementarea de ransomware pentru a perturba. operațiuni și câștigă financiar din compromis.

În plus, este probabil ca și entitățile poloneze să fi fost vizate, așa cum indică verificările limbii tastaturii efectuate de malware.

Ucraina rămâne ținta unor atacuri malware sofisticate

Anunțul vine în urma unui avertisment din partea Computer Emergency Response Team of Ukraine (CERT-UA) cu privire la atacurile cibernetice efectuate de un actor de amenințare cunoscut sub numele de UAC-0050, care vizează informații și fonduri sensibile folosind diferite familii de malware, inclusiv Remcos RAT , SectopRAT. , Xeno RAT, Lumma Stealer, Mars Stealer și Meduza Stealer .

Operațiunile de furt financiar ale UAC-0050 se concentrează pe furtul de fonduri de la întreprinderile ucrainene și de la antreprenori privați. Acest lucru se realizează prin obținerea accesului neautorizat la computerele contabililor prin instrumente de control de la distanță precum Remcos și TEKTONITRMS.

Între septembrie și octombrie 2024, UAC-0050 a executat cel puțin 30 de astfel de atacuri, care au implicat crearea de tranzacții financiare false prin sisteme bancare la distanță, cu sume cuprinse între zeci de mii și câteva milioane de UAH.

În plus, CERT-UA a raportat că au observat încercări de a răspândi mesaje frauduloase prin intermediul contului @reserveplusbot pe platforma de mesagerie Telegram, cu scopul de a implementa malware-ul Meduza Stealer sub pretextul instalării de software special.