SingleCamper RAT

RomCom என அழைக்கப்படும் ரஷ்ய அச்சுறுத்தல் நடிகர், குறைந்தது 2023 இன் பிற்பகுதியிலிருந்து உக்ரேனிய அரசாங்க நிறுவனங்கள் மற்றும் அறியப்படாத போலந்து நிறுவனங்களை இலக்காகக் கொண்ட புதிய அலை சைபர் தாக்குதல்களுடன் இணைக்கப்பட்டுள்ளார்.

SnipBot அல்லது RomCom 5.0 என அழைக்கப்படும் RomCom RAT இன் மாறுபாட்டைப் பயன்படுத்துவதன் மூலம் ஊடுருவல்கள் வகைப்படுத்தப்படுகின்றன. இன்ஃபோசெக் ஆராய்ச்சியாளர்கள் UAT-5647 என்ற பெயரின் கீழ் செயல்பாட்டுக் குழுவைக் கண்காணித்து வருகின்றனர். இந்த பதிப்பு பதிவேட்டில் இருந்து நேரடியாக நினைவகத்தில் ஏற்றப்படுகிறது மற்றும் அதன் ஏற்றியுடன் தொடர்பு கொள்ள லூப்பேக் முகவரியைப் பயன்படுத்துகிறது.

இந்த மிரட்டல் நடிகர் பல தாக்குதல் பிரச்சாரங்களைத் தொடங்கியுள்ளார்

Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 மற்றும் Void Rabisu போன்ற மாற்றுப்பெயர்களால் அறியப்படும் RomCom, 2022 இல் தோன்றியதிலிருந்து பல்வேறு இணைய நடவடிக்கைகளில் ஈடுபட்டுள்ளது. சான்றுகளின் சேகரிப்பு.

சமீபத்திய மதிப்பீடுகள் அவற்றின் தாக்குதல் அதிர்வெண்ணில் குறிப்பிடத்தக்க அதிகரிப்பைக் குறிப்பிடுகின்றன, சமரசம் செய்யப்பட்ட நெட்வொர்க்குகளுக்கு நீண்டகால அணுகலை நிறுவுதல் மற்றும் மதிப்புமிக்க தரவைப் பிரித்தெடுப்பதில் கவனம் செலுத்துதல், உளவு-உந்துதல் நிகழ்ச்சி நிரலை சுட்டிக்காட்டுகிறது.

இதற்கு ஆதரவாக, C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) மற்றும் Lua (DROPCLUE) உள்ளிட்ட பல நிரலாக்க மொழிகள் மற்றும் இயங்குதளங்களைப் பயன்படுத்தி கட்டமைக்கப்பட்ட தீம்பொருள் கூறுகளின் பரவலானவற்றை உள்ளடக்கி, RomCom அதன் கருவித்தொகுப்பு மற்றும் உள்கட்டமைப்பை விரிவுபடுத்துகிறது. .

இலக்குகளை சமரசம் செய்வதற்கான ஸ்பியர்-ஃபிஷிங் உத்திகள்

தாக்குதல் காட்சிகள் ஒரு ஸ்பியர்-ஃபிஷிங் மின்னஞ்சலுடன் தொடங்குகின்றன, இது ஒரு டவுன்லோடரை வழங்குகிறது, இது C++ (MeltingClaw) அல்லது Rust (RustyClaw) இல் எழுதப்படலாம். இந்த பதிவிறக்குபவர் ShadyHammock மற்றும் DustyHammock பின்கதவுகளை பயன்படுத்துவதற்கு பொறுப்பானவர், அதே சமயம் ஏமாற்றத்தை பராமரிக்க பெறுநருக்கு ஒரு டிகோய் ஆவணம் காட்டப்படும்.

DustyHammock கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்துடன் தொடர்பு கொள்ளவும், தன்னிச்சையான கட்டளைகளை இயக்கவும் மற்றும் அதிலிருந்து கோப்புகளைப் பதிவிறக்கவும் வடிவமைக்கப்பட்டுள்ளது. மாறாக, ShadyHammock SingleCamper ஐத் தொடங்குவதற்கும் உள்வரும் கட்டளைகளைக் கண்காணிப்பதற்கும் ஒரு தளமாக செயல்படுகிறது.

ShadyHammock இன் கூடுதல் திறன்கள் இருந்தபோதிலும், இது DustyHammock க்கு முன்னோடியாகக் கருதப்படுகிறது, ஏனெனில் பிந்தையது செப்டம்பர் 2024 இல் தாக்குதல்களில் கண்டறியப்பட்டது.

SingleCamper RAT சமீபத்திய மறு செய்கை ஆகும்

RomCom RAT இன் சமீபத்திய மறு செய்கையான SingleCamper, பல்வேறு சமரசத்திற்குப் பிந்தைய செயல்பாடுகளுக்காக வடிவமைக்கப்பட்டுள்ளது. இந்த நடவடிக்கைகளில், புட்டியில் இருந்து Plink கருவியைப் பதிவிறக்கி, எதிரிகளால் கட்டுப்படுத்தப்பட்ட உள்கட்டமைப்புடன் தொலை சுரங்கங்களை உருவாக்குதல், நெட்வொர்க் உளவுத்துறையை நடத்துதல், பக்கவாட்டு இயக்கத்தை எளிதாக்குதல், பயனர்கள் மற்றும் அமைப்புகளைக் கண்டறிதல் மற்றும் தரவை வெளியேற்றுதல் ஆகியவை அடங்கும்.

உயர்தர உக்ரேனிய நிறுவனங்களை இலக்காகக் கொண்ட இந்த குறிப்பிட்ட தொடர் தாக்குதல்கள், UAT-5647 இன் இரு மடங்கு மூலோபாயத்துடன் ஒத்துப்போகின்றன: நீண்ட கால அணுகலை நிறுவுதல் மற்றும் உளவு இலக்குகளை ஆதரிக்க நீண்ட காலத்திற்கு தரவைப் பிரித்தெடுத்தல் மற்றும் இடையூறு விளைவிக்கக்கூடிய ransomware வரிசைப்படுத்தலுக்குத் தூண்டுதல். செயல்பாடுகள் மற்றும் சமரசத்திலிருந்து நிதி ஆதாயம்.

கூடுதலாக, தீம்பொருளால் நடத்தப்பட்ட விசைப்பலகை மொழி சோதனைகள் மூலம் சுட்டிக்காட்டப்பட்டபடி, போலந்து நிறுவனங்களும் குறிவைக்கப்பட்டிருக்கலாம்.

உக்ரைன் அதிநவீன மால்வேர் தாக்குதல்களின் இலக்காக உள்ளது

Remcos RAT , the SectopRAT உள்ளிட்ட பல்வேறு மால்வேர் குடும்பங்களைப் பயன்படுத்தி முக்கியமான தகவல்களையும் நிதிகளையும் குறிவைக்கும் UAC-0050 என அழைக்கப்படும் அச்சுறுத்தல் நடிகரால் நடத்தப்படும் சைபர் தாக்குதல்கள் தொடர்பான உக்ரைனின் கணினி அவசரநிலைப் பதிலளிப்புக் குழுவின் (CERT-UA) எச்சரிக்கையைத் தொடர்ந்து இந்த அறிவிப்பு வெளியிடப்பட்டுள்ளது. , செனோ ரேட், லும்மா ஸ்டீலர், மார்ஸ் ஸ்டீலர் மற்றும் மெடுசா ஸ்டீலர் .

UAC-0050 இன் நிதித் திருட்டு நடவடிக்கைகள் உக்ரேனிய வணிகங்கள் மற்றும் தனியார் தொழில்முனைவோர்களிடமிருந்து நிதிகளைத் திருடுவதில் கவனம் செலுத்துகின்றன. Remcos மற்றும் TEKTONITRMS போன்ற ரிமோட் கண்ட்ரோல் கருவிகள் மூலம் கணக்காளர்களின் கணினிகளுக்கு அங்கீகரிக்கப்படாத அணுகலைப் பெறுவதன் மூலம் இது அடையப்படுகிறது.

செப்டம்பர் மற்றும் அக்டோபர் 2024 க்கு இடையில், UAC-0050 குறைந்தது 30 தாக்குதல்களை நடத்தியது, இதில் தொலைதூர வங்கி அமைப்புகள் மூலம் போலி நிதி பரிவர்த்தனைகளை உருவாக்கியது, பல்லாயிரக்கணக்கில் இருந்து பல மில்லியன் UAH வரை.

கூடுதலாக, டெலிகிராம் மெசேஜிங் தளத்தில் @reserveplusbot கணக்கு மூலம் மோசடி செய்திகளை பரப்புவதற்கான முயற்சிகளை CERT-UA அறிக்கை செய்துள்ளது, இது சிறப்பு மென்பொருளை நிறுவும் போர்வையில் Meduza Stealer தீம்பொருளை பயன்படுத்துவதை நோக்கமாகக் கொண்டுள்ளது.