SingleCamper RAT

Ruský aktér hrozby známy ako RomCom je spájaný s novou vlnou kybernetických útokov zameraných na ukrajinské vládne agentúry a neznáme poľské subjekty minimálne od konca roku 2023.

Narušenia sa vyznačujú použitím variantu RomCom RAT s názvom SingleCamper (známy ako SnipBot alebo RomCom 5.0). Výskumníci spoločnosti Infosec monitorujú klaster aktivít pod prezývkou UAT-5647. Táto verzia sa načíta priamo z registra do pamäte a na komunikáciu s jej zavádzačom používa adresu spätnej slučky.

Tento aktér hrozieb spustil množstvo útočných kampaní

RomCom, známy aj pod aliasmi ako Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 a Void Rabisu, sa od svojho vzniku v roku 2022 podieľa na rôznych kybernetických operáciách. Tieto operácie zahŕňajú ransomvérové útoky, schémy vydierania a cielené zbieranie poverení.

Nedávne hodnotenia naznačujú zreteľný nárast ich frekvencie útokov so zameraním na vytvorenie dlhodobého prístupu k kompromitovaným sieťam a extrakciu cenných údajov, čo poukazuje na špionážnu agendu.

Na podporu tohto RomCom údajne rozširuje svoju súpravu nástrojov a infraštruktúru, pričom zahŕňa širokú škálu malvérových komponentov vytvorených pomocou viacerých programovacích jazykov a platforiem, vrátane C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) a Lua (DROPCLUE). .

Spear-phishing taktika na kompromitáciu cieľov

Útočné sekvencie začínajú spear-phishingovým emailom, ktorý doručí downloader, ktorý môže byť napísaný buď v C++ (MeltingClaw) alebo Rust (RustyClaw). Tento downloader je zodpovedný za nasadenie zadných dvierok ShadyHammock a DustyHammock, pričom príjemcovi sa zobrazí návnada, aby sa zachoval klam.

DustyHammock je navrhnutý tak, aby komunikoval so serverom Command-and-Control (C2), vykonával ľubovoľné príkazy a sťahoval z neho súbory. Naproti tomu ShadyHammock funguje ako platforma na spustenie SingleCamper a monitorovanie prichádzajúcich príkazov.

Napriek dodatočným schopnostiam ShadyHammock sa považuje za predchodcu DustyHammock, pretože ten bol zistený pri útokoch až v septembri 2024.

SingleCamper RAT je najnovšia iterácia

SingleCamper, najnovšia iterácia RomCom RAT, je navrhnutý pre rôzne post-kompromisné aktivity. Tieto aktivity zahŕňajú stiahnutie nástroja Plink z PuTTY na vytváranie vzdialených tunelov s infraštruktúrou riadenou protivníkom, vykonávanie prieskumu siete, uľahčenie pohybu do strán, objavovanie používateľov a systémov a extrakciu údajov.

Zdá sa, že táto konkrétna séria útokov zameraných na významné ukrajinské subjekty je v súlade s dvojitou stratégiou UAT-5647: vytvoriť dlhodobý prístup a extrahovať údaje na dlhšie obdobie na podporu špionážnych cieľov a potenciálne sa zamerať na nasadenie ransomvéru s cieľom narušiť operácie a finančný zisk z kompromisu.

Okrem toho je pravdepodobné, že cieľom boli aj poľské subjekty, ako to naznačujú kontroly jazyka klávesnice, ktoré malvér vykonal.

Ukrajina zostáva terčom sofistikovaných malvérových útokov

Oznámenie nasleduje po varovaní ukrajinského tímu Computer Emergency Response Team (CERT-UA) v súvislosti s kybernetickými útokmi zo strany aktéra hrozby známeho ako UAC-0050, ktorý sa zameriava na citlivé informácie a finančné prostriedky pomocou rôznych skupín malvéru vrátane Remcos RAT , SectopRAT. , Xeno RAT, Lumma Stealer, Mars Stealer a Meduza Stealer .

Finančné krádeže UAC-0050 sa zameriavajú na kradnutie finančných prostriedkov od ukrajinských podnikov a súkromných podnikateľov. Dosahuje sa to získaním neoprávneného prístupu k počítačom účtovníkov pomocou nástrojov diaľkového ovládania, ako sú Remcos a TEKTONITRMS.

Medzi septembrom a októbrom 2024 vykonal UAC-0050 najmenej 30 takýchto útokov, ktoré zahŕňali vytváranie falošných finančných transakcií prostredníctvom vzdialených bankových systémov v sumách od desiatok tisíc do niekoľkých miliónov UAH.

CERT-UA navyše oznámila, že pozorovala pokusy o šírenie podvodných správ prostredníctvom účtu @reserveplusbot na platforme správ Telegram s cieľom nasadiť malvér Meduza Stealer pod zámienkou inštalácie špeciálneho softvéru.