RAT SingleCamper

Aktori rus i kërcënimit i njohur si RomCom ka qenë i lidhur me një valë të re sulmesh kibernetike që synojnë agjencitë qeveritare të Ukrainës dhe entitetet e panjohura polake që nga fundi i vitit 2023.

Ndërhyrjet karakterizohen nga përdorimi i një varianti të RomCom RAT të quajtur SingleCamper (aka SnipBot ose RomCom 5.0). Studiuesit e Infosec po monitorojnë grupin e aktiviteteve nën emrin UAT-5647. Ky version ngarkohet direkt nga regjistri në memorie dhe përdor një adresë loopback për të komunikuar me ngarkuesin e tij.

Ky aktor kërcënues ka nisur fushata të shumta sulmesh

RomCom, i njohur gjithashtu me pseudonime si Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 dhe Void Rabisu, është përfshirë në operacione të ndryshme kibernetike që nga shfaqja e tij në vitin 2022. Këto operacione përfshijnë sulme ransomware, skema zhvatjeje dhe objektiva mbledhjen e letrave kredenciale.

Vlerësimet e fundit tregojnë një rritje të dukshme në frekuencën e sulmeve të tyre, me fokus në vendosjen e aksesit afatgjatë në rrjetet e komprometuara dhe nxjerrjen e të dhënave të vlefshme, duke treguar një axhendë të drejtuar nga spiunazhi.

Në mbështetje të kësaj, RomCom thuhet se po zgjeron paketën e veglave dhe infrastrukturën e saj, duke përfshirë një gamë të gjerë përbërësish malware të ndërtuar duke përdorur gjuhë dhe platforma të shumta programimi, duke përfshirë C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) dhe Lua (DROPCLUE) .

Taktikat e phishing-ut për të kompromentuar objektivat

Sekuencat e sulmit fillojnë me një email phishing me shtizë që dërgon një shkarkues, i cili mund të shkruhet ose në C++ (MeltingClaw) ose Rust (RustyClaw). Ky shkarkues është përgjegjës për vendosjen e dyerve të pasme ShadyHammock dhe DustyHammock, ndërkohë që një dokument mashtrimi i shfaqet marrësit për të ruajtur mashtrimin.

DustyHammock është krijuar për të komunikuar me një server Command-and-Control (C2), për të ekzekutuar komanda arbitrare dhe për të shkarkuar skedarë prej tij. Në të kundërt, ShadyHammock funksionon si një platformë për lëshimin e SingleCamper dhe monitorimin e komandave në hyrje.

Pavarësisht aftësive shtesë të ShadyHammock, ai konsiderohet si një paraardhës i DustyHammock, pasi ky i fundit është zbuluar në sulme deri në shtator 2024.

SingleCamper RAT është përsëritja më e fundit

SingleCamper, përsëritja e fundit e RomCom RAT, është projektuar për aktivitete të ndryshme pas kompromisit. Këto aktivitete përfshijnë shkarkimin e mjetit Plink nga PuTTY për të krijuar tunele të largëta me infrastrukturë të kontrolluar nga kundërshtari, kryerjen e zbulimit të rrjetit, lehtësimin e lëvizjes anësore, zbulimin e përdoruesve dhe sistemeve dhe nxjerrjen e të dhënave.

Kjo seri e veçantë sulmesh, që synojnë entitete të profilit të lartë ukrainas, duket se përputhet me strategjinë e dyfishtë të UAT-5647: të vendosë akses afatgjatë dhe të nxjerrë të dhëna për periudha të gjata për të mbështetur qëllimet e spiunazhit dhe potencialisht për t'u drejtuar në vendosjen e ransomware për të ndërprerë. operacionet dhe përfitimet financiare nga kompromisi.

Për më tepër, ka të ngjarë që subjektet polake të jenë gjithashtu në shënjestër, siç tregohet nga kontrollet e gjuhës së tastierës të kryera nga malware.

Ukraina mbetet objektivi i sulmeve të sofistikuara malware

Njoftimi vjen pas një paralajmërimi nga Ekipi i Reagimit ndaj Emergjencave Kompjuterike të Ukrainës (CERT-UA) në lidhje me sulmet kibernetike të kryera nga një aktor kërcënimi i njohur si UAC-0050, i cili synon informacione dhe fonde të ndjeshme duke përdorur familje të ndryshme malware, duke përfshirë Remcos RAT , SectopRAT , Xeno RAT, Lumma Stealer, Mars Stealer dhe Meduza Stealer .

Operacionet e vjedhjes financiare të UAC-0050 fokusohen në vjedhjen e fondeve nga bizneset ukrainase dhe sipërmarrësit privatë. Kjo arrihet duke fituar akses të paautorizuar në kompjuterët e kontabilistëve përmes mjeteve të telekomandës si Remcos dhe TEKTONITRMS.

Midis shtatorit dhe tetorit 2024, UAC-0050 ekzekutoi të paktën 30 sulme të tilla, të cilat përfshinin krijimin e transaksioneve financiare të rreme përmes sistemeve bankare në distancë, me shuma që varionin nga dhjetëra mijëra deri në disa milionë UAH.

Për më tepër, CERT-UA ka raportuar se ka vëzhguar përpjekje për të përhapur mesazhe mashtruese përmes llogarisë @reserveplusbot në platformën e mesazheve Telegram, duke synuar vendosjen e malware Meduza Stealer nën maskën e instalimit të softuerit special.