SingleCamper RAT

Российскую группировку, известную как RomCom, связывают с новой волной кибератак, направленных на украинские правительственные учреждения и неизвестные польские организации, по крайней мере с конца 2023 года.

Вторжения характеризуются использованием варианта RomCom RAT, названного SingleCamper (он же SnipBot или RomCom 5.0). Исследователи Infosec отслеживают кластер активности под псевдонимом UAT-5647. Эта версия загружается непосредственно из реестра в память и использует адрес обратной связи для связи со своим загрузчиком.

Этот злоумышленник запустил многочисленные кампании атак

RomCom, также известный под такими псевдонимами, как Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 и Void Rabisu, участвовал в различных кибероперациях с момента своего появления в 2022 году. Эти операции включают атаки с использованием программ-вымогателей, схемы вымогательства и целенаправленный сбор учетных данных.

Недавние оценки указывают на заметное увеличение частоты атак с упором на установление долгосрочного доступа к взломанным сетям и извлечение ценных данных, что указывает на наличие шпионской направленности.

Сообщается, что в поддержку этого RomCom расширяет свой инструментарий и инфраструктуру, включив в него широкий спектр вредоносных компонентов, созданных с использованием нескольких языков программирования и платформ, включая C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) и Lua (DROPCLUE).

Тактика целевого фишинга для компрометации целей

Последовательности атак начинаются с фишингового письма, которое доставляет загрузчик, который может быть написан на C++ (MeltingClaw) или Rust (RustyClaw). Этот загрузчик отвечает за развертывание бэкдоров ShadyHammock и DustyHammock, в то время как получателю отображается документ-приманка для поддержания обмана.

DustyHammock предназначен для связи с сервером Command-and-Control (C2), выполнения произвольных команд и загрузки файлов с него. ShadyHammock, напротив, функционирует как платформа для запуска SingleCamper и мониторинга входящих команд.

Несмотря на дополнительные возможности ShadyHammock, он считается предшественником DustyHammock, поскольку последний был обнаружен в атаках еще в сентябре 2024 года.

SingleCamper RAT — это последняя версия

SingleCamper, последняя версия RomCom RAT, предназначена для различных действий после компрометации. Эти действия включают загрузку инструмента Plink из PuTTY для создания удаленных туннелей с контролируемой злоумышленником инфраструктурой, проведение сетевой разведки, содействие боковому перемещению, обнаружение пользователей и систем и извлечение данных.

Эта конкретная серия атак, направленных на известные украинские организации, по-видимому, соответствует двойной стратегии UAT-5647: установление долгосрочного доступа и извлечение данных в течение длительных периодов времени для поддержки шпионских целей и потенциальный переход к развертыванию программ-вымогателей для нарушения операций и получения финансовой выгоды от взлома.

Кроме того, вполне вероятно, что мишенью атак стали и польские организации, о чем свидетельствуют проверки языка клавиатуры, проведенные вредоносным ПО.

Украина остается целью сложных вредоносных атак

Данное заявление последовало за предупреждением Центра реагирования на компьютерные инциденты Украины (CERT-UA) о кибератаках, совершаемых группой злоумышленников, известной как UAC-0050, которая нацелена на конфиденциальную информацию и денежные средства с использованием различных семейств вредоносных программ, включая Remcos RAT , SectopRAT, Xeno RAT, Lumma Stealer, Mars Stealer и Meduza Stealer .

Финансовые операции UAC-0050 направлены на кражу средств у украинских предприятий и частных предпринимателей. Это достигается путем получения несанкционированного доступа к компьютерам бухгалтеров с помощью инструментов удаленного управления, таких как Remcos и TEKTONITRMS.

В период с сентября по октябрь 2024 года UAC-0050 осуществил не менее 30 подобных атак, в ходе которых были созданы поддельные финансовые транзакции через системы дистанционного банковского обслуживания на суммы от десятков тысяч до нескольких миллионов гривен.

Кроме того, CERT-UA сообщил о попытках распространения мошеннических сообщений через аккаунт @reserveplusbot на платформе обмена сообщениями Telegram с целью внедрения вредоносного ПО Meduza Stealer под видом установки специального программного обеспечения.