SingleCamper RAT

Den ryska hotaktören känd som RomCom har kopplats till en ny våg av cyberattacker riktade mot ukrainska myndigheter och okända polska enheter sedan åtminstone slutet av 2023.

Intrången kännetecknas av användningen av en variant av RomCom RAT -döpta SingleCamper (aka SnipBot eller RomCom 5.0). Infosec-forskare övervakar aktivitetsklustret under namnet UAT-5647. Denna version laddas direkt från registret till minnet och använder en loopback-adress för att kommunicera med dess laddare.

Denna hotskådespelare har lanserat många attackkampanjer

RomCom, även känd under alias som Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 och Void Rabisu, har varit inblandad i olika cyberoperationer sedan dess uppkomst 2022. Dessa operationer inkluderar ransomware-attacker, utpressningsprogram och de riktade samling av meriter.

De senaste bedömningarna indikerar en märkbar ökning av deras attackfrekvens, med fokus på att etablera långsiktig tillgång till komprometterade nätverk och extrahera värdefull data, vilket pekar på en spionagedriven agenda.

Till stöd för detta utvidgar RomCom enligt uppgift sin verktygslåda och infrastruktur, med ett brett utbud av skadliga komponenter byggda med flera programmeringsspråk och plattformar, inklusive C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) och Lua (DROPCLUE) .

Spjutfisketaktik för att kompromissa med målen

Attacksekvenserna börjar med ett spear-phishing-e-postmeddelande som levererar en nedladdare, som kan skrivas i antingen C++ (MeltingClaw) eller Rust (RustyClaw). Den här nedladdaren ansvarar för att distribuera ShadyHammock- och DustyHammock-bakdörrarna, medan ett lockbetedokument visas för mottagaren för att upprätthålla bedrägeriet.

DustyHammock är designad för att kommunicera med en Command-and-Control-server (C2), utföra godtyckliga kommandon och ladda ner filer från den. Däremot fungerar ShadyHammock som en plattform för att starta SingleCamper och övervaka inkommande kommandon.

Trots de ytterligare funktionerna hos ShadyHammock anses den vara en föregångare till DustyHammock, eftersom den senare har upptäckts i attacker så sent som i september 2024.

SingleCamper RAT är den senaste iterationen

SingleCamper, den senaste versionen av RomCom RAT, är designad för olika aktiviteter efter kompromisser. Dessa aktiviteter inkluderar att ladda ner Plink-verktyget från PuTTY för att skapa fjärrtunnlar med motståndarkontrollerad infrastruktur, utföra nätverksspaning, underlätta sidorörelser, upptäcka användare och system och exfiltrera data.

Denna speciella serie av attacker, riktade mot högprofilerade ukrainska enheter, verkar vara i linje med UAT-5647:s tvåfaldiga strategi: att etablera långsiktig åtkomst och extrahera data under längre perioder för att stödja spionagemål och potentiellt svänga till utplacering av ransomware för att störa verksamheten och tjäna ekonomiskt på kompromissen.

Dessutom är det troligt att polska enheter också var inriktade på, vilket framgår av tangentbordsspråkkontrollerna som genomfördes av skadlig programvara.

Ukraina är fortfarande målet för sofistikerade attacker med skadlig programvara

Tillkännagivandet följer en varning från Computer Emergency Response Team i Ukraina (CERT-UA) angående cyberattacker utförda av en hotaktör känd som UAC-0050, som riktar in sig på känslig information och medel med hjälp av olika skadliga programfamiljer, inklusive Remcos RAT , SectopRAT , Xeno RAT, Lumma Stealer, Mars Stealer och Meduza Stealer .

UAC-0050:s finansiella stöldverksamhet fokuserar på att stjäla pengar från ukrainska företag och privata entreprenörer. Detta uppnås genom att få obehörig åtkomst till revisorers datorer genom fjärrkontrollverktyg som Remcos och TEKTONITRMS.

Mellan september och oktober 2024 utförde UAC-0050 minst 30 sådana attacker, som involverade att skapa falska finansiella transaktioner genom fjärrbanksystem, med belopp från tiotusentals till flera miljoner UAH.

Dessutom har CERT-UA rapporterat att man observerat försök att sprida bedrägliga meddelanden via @reserveplusbot-kontot på Telegrams meddelandeplattform, i syfte att distribuera Meduza Stealer malware under sken av att installera speciell programvara.