СинглеЦампер РАТ

Руски актер претњи познат као РомЦом повезан је са новим таласом сајбер напада усмерених на украјинске владине агенције и непознате пољске ентитете најмање од краја 2023.

Упаде карактерише употреба варијанте РомЦом РАТ-а назване СинглеЦампер (ака СнипБот или РомЦом 5.0). Инфосец истраживачи прате кластер активности под именом УАТ-5647. Ова верзија се учитава директно из регистра у меморију и користи лоопбацк адресу за комуникацију са својим учитавачем.

Овај претећи актер покренуо је бројне кампање напада

РомЦом, такође познат под псеудонима као што су Сторм-0978, Тропицал Сцорпиус, УАЦ-0180, УНЦ2596 и Воид Рабису, био је укључен у различите сајбер операције од свог појављивања 2022. Ове операције укључују нападе рансомвера, шеме изнуде и циљане прикупљање акредитива.

Недавне процене указују на приметно повећање учесталости њихових напада, са фокусом на успостављање дугорочног приступа компромитованим мрежама и вађење вредних података, што указује на шпијунски план.

У прилог томе, РомЦом наводно проширује свој комплет алата и инфраструктуру, укључујући широк спектар компоненти злонамерног софтвера направљених коришћењем више програмских језика и платформи, укључујући Ц++ (СхадиХаммоцк), Руст (ДустиХаммоцк), Го (ГЛУЕЕГГ) и Луа (ДРОПЦЛУЕ) .

Тактике пхисхинг-а за компромитовање циљева

Секвенце напада почињу са спеар-пхисхинг е-поштом која испоручује програм за преузимање, који може бити написан у Ц++ (МелтингЦлав) или Руст (РустиЦлав). Овај преузимач је одговоран за примену бацкдоорса СхадиХаммоцк и ДустиХаммоцк, док се примаоцу приказује документ за мамце да би одржао превару.

ДустиХаммоцк је дизајниран да комуницира са сервером за команду и контролу (Ц2), извршава произвољне команде и преузима датотеке са њега. Насупрот томе, СхадиХаммоцк функционише као платформа за покретање СинглеЦампер-а и праћење долазних команди.

Упркос додатним могућностима СхадиХаммоцк-а, сматра се претходником ДустиХаммоцк-а, пошто је овај други откривен у нападима тек у септембру 2024.

СинглеЦампер РАТ је најновија итерација

СинглеЦампер, најновија итерација РомЦом РАТ-а, дизајнирана је за различите активности након компромиса. Ове активности укључују преузимање алата Плинк са ПуТТИ-ја за креирање удаљених тунела са инфраструктуром коју контролишу противници, извиђање мреже, омогућавање бочног кретања, откривање корисника и система и ексфилтрирање података.

Ова конкретна серија напада, усмерених на високопрофилне украјинске ентитете, изгледа да је у складу са двоструком стратегијом УАТ-5647: да се успостави дугорочни приступ и екстрахују подаци на дуже временске периоде како би се подржали циљеви шпијунаже и потенцијално окренути ка имплементацији рансомваре-а ради ометања пословања и добити финансијски од компромиса.

Поред тога, вероватно је да су на мети били и пољски ентитети, као што показују провере језика тастатуре које је спровео малвер.

Украјина је и даље мета софистицираних напада малвера

Ово саопштење уследило је након упозорења украјинског тима за хитне случајеве (ЦЕРТ-УА) у вези са сајбер нападима које спроводи претња познат као УАЦ-0050, који циља осетљиве информације и средства користећи различите породице малвера, укључујући Ремцос РАТ , СецтопРАТ , Ксено РАТ, Лумма Стеалер, Марс Стеалер и Медуза Стеалер .

Операције финансијске крађе УАЦ-0050 се фокусирају на крађу средстава од украјинских предузећа и приватних предузетника. Ово се постиже добијањем неовлашћеног приступа рачунарима рачуновођа путем алата за даљинско управљање као што су Ремцос и ТЕКТОНИТРМС.

У периоду од септембра до октобра 2024. УАЦ-0050 је извршио најмање 30 таквих напада, који су укључивали креирање лажних финансијских трансакција путем система даљинског банкарства, са износима од десетина хиљада до неколико милиона УАХ.

Поред тога, ЦЕРТ-УА је известио о покушајима ширења лажних порука преко @ресервеплусбот налога на платформи за размену порука Телеграм, са циљем да се примени малвер Медуза Стеалер под маском инсталирања специјалног софтвера.