SingleCamper RAT

Ruski akter grožnje, znan kot RomCom, je vsaj od konca leta 2023 povezan z novim valom kibernetskih napadov, usmerjenih na ukrajinske vladne agencije in neznane poljske subjekte.

Za vdore je značilna uporaba različice RomCom RAT, imenovane SingleCamper (aka SnipBot ali RomCom 5.0). Raziskovalci Infosec spremljajo skupino dejavnosti pod imenom UAT-5647. Ta različica se naloži neposredno iz registra v pomnilnik in uporablja povratni naslov za komunikacijo s svojim nalagalnikom.

Ta akter grožnje je sprožil številne napadalne kampanje

RomCom, znan tudi pod vzdevki, kot so Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 in Void Rabisu, je od svojega pojava leta 2022 vključen v različne kibernetske operacije. Te operacije vključujejo napade z izsiljevalsko programsko opremo, sheme izsiljevanja in ciljne zbiranje poverilnic.

Nedavne ocene kažejo opazno povečanje pogostosti njihovih napadov, s poudarkom na vzpostavljanju dolgoročnega dostopa do ogroženih omrežij in pridobivanju dragocenih podatkov, kar kaže na vohunsko agendo.

V podporo temu naj bi RomCom razširil svoj nabor orodij in infrastrukturo ter vključil široko paleto komponent zlonamerne programske opreme, zgrajenih z uporabo več programskih jezikov in platform, vključno s C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) in Lua (DROPCLUE). .

Taktike lažnega predstavljanja za ogrožanje tarč

Napadna zaporedja se začnejo z e-poštnim sporočilom s lažnim predstavljanjem, ki dostavi program za prenos, ki je lahko napisan v C++ (MeltingClaw) ali Rust (RustyClaw). Ta prenosnik je odgovoren za postavitev stranskih vrat ShadyHammock in DustyHammock, medtem ko se prejemniku prikaže dokument z vabo, da ohrani prevaro.

DustyHammock je zasnovan za komunikacijo s strežnikom Command-and-Control (C2), izvajanje poljubnih ukazov in prenos datotek z njega. Nasprotno pa ShadyHammock deluje kot platforma za zagon SingleCamperja in spremljanje dohodnih ukazov.

Kljub dodatnim zmogljivostim ShadyHammocka velja za predhodnika DustyHammocka, saj je bil slednji zaznan v napadih šele septembra 2024.

SingleCamper RAT je najnovejša različica

SingleCamper, najnovejša ponovitev RomCom RAT, je zasnovan za različne dejavnosti po kompromisu. Te dejavnosti vključujejo prenos orodja Plink s spletnega mesta PuTTY za ustvarjanje oddaljenih tunelov z infrastrukturo, ki jo nadzoruje nasprotnik, izvajanje izvidovanja omrežja, omogočanje stranskega gibanja, odkrivanje uporabnikov in sistemov ter izločanje podatkov.

Zdi se, da je ta posebna serija napadov, usmerjenih na ukrajinske entitete na visokem profilu, usklajena z dvojno strategijo UAT-5647: vzpostaviti dolgoročen dostop in izvleči podatke za daljša obdobja, da bi podprli cilje vohunjenja, in se potencialno usmeriti k uvajanju izsiljevalske programske opreme za motnje poslovanje in finančno pridobitev s kompromisom.

Poleg tega je verjetno, da so bili tarča tudi poljski subjekti, kot kažejo preverjanja jezika tipkovnice, ki jih izvaja zlonamerna programska oprema.

Ukrajina ostaja tarča napadov sofisticirane zlonamerne programske opreme

Obvestilo je sledilo opozorilu ukrajinske ekipe za odzivanje na računalniške nujne primere (CERT-UA) glede kibernetskih napadov, ki jih izvaja akter grožnje, znan kot UAC-0050, ki cilja na občutljive podatke in sredstva z uporabo različnih družin zlonamerne programske opreme, vključno z Remcos RAT , SectopRAT , Xeno RAT, Lumma Stealer, Mars Stealer in Meduza Stealer .

Operacije finančne kraje UAC-0050 se osredotočajo na krajo sredstev ukrajinskih podjetij in zasebnih podjetnikov. To se doseže s pridobivanjem nepooblaščenega dostopa do računalnikov računovodij prek orodij za daljinsko upravljanje, kot sta Remcos in TEKTONITRMS.

Med septembrom in oktobrom 2024 je UAC-0050 izvedel vsaj 30 takšnih napadov, ki so vključevali ustvarjanje lažnih finančnih transakcij prek oddaljenih bančnih sistemov, z zneski v razponu od deset tisoč do več milijonov UAH.

Poleg tega je CERT-UA poročal o opazovanju poskusov širjenja goljufivih sporočil prek računa @reserveplusbot na platformi za sporočanje Telegram, s ciljem uvesti zlonamerno programsko opremo Meduza Stealer pod pretvezo namestitve posebne programske opreme.