SingleCamper RAT

రోమ్‌కామ్ అని పిలువబడే రష్యన్ బెదిరింపు నటుడు కనీసం 2023 చివరి నుండి ఉక్రేనియన్ ప్రభుత్వ ఏజెన్సీలు మరియు తెలియని పోలిష్ సంస్థలపై ఉద్దేశించిన కొత్త సైబర్ దాడులతో ముడిపడి ఉన్నాడు.

చొరబాట్లు RomCom RAT యొక్క వేరియంట్‌ని SingleCamper (అకా SnipBot లేదా RomCom 5.0) అని పిలుస్తారు. ఇన్ఫోసెక్ పరిశోధకులు UAT-5647 మోనికర్ కింద కార్యాచరణ క్లస్టర్‌ను పర్యవేక్షిస్తున్నారు. ఈ సంస్కరణ నేరుగా రిజిస్ట్రీ నుండి మెమరీలోకి లోడ్ చేయబడుతుంది మరియు దాని లోడర్‌తో కమ్యూనికేట్ చేయడానికి లూప్‌బ్యాక్ చిరునామాను ఉపయోగిస్తుంది.

ఈ బెదిరింపు నటుడు అనేక దాడి ప్రచారాలను ప్రారంభించాడు

RomCom, Storm-0978, Tropical Scorpius, UAC-0180, UNC2596, మరియు Void Rabisu వంటి మారుపేర్లతో కూడా పిలువబడుతుంది, 2022లో ఆవిర్భవించినప్పటి నుండి వివిధ సైబర్ కార్యకలాపాలలో పాల్గొంటోంది. ఈ కార్యకలాపాలలో ransomware దాడులు, దోపిడీ పథకాలు మరియు లక్ష్యాలు ఉన్నాయి ఆధారాల సేకరణ.

ఇటీవలి అసెస్‌మెంట్‌లు వారి దాడి ఫ్రీక్వెన్సీలో గుర్తించదగిన పెరుగుదలను సూచిస్తున్నాయి, రాజీపడిన నెట్‌వర్క్‌లకు దీర్ఘకాలిక ప్రాప్యతను ఏర్పాటు చేయడం మరియు గూఢచర్యం-ఆధారిత ఎజెండాను సూచిస్తూ విలువైన డేటాను సంగ్రహించడంపై దృష్టి పెడుతుంది.

దీనికి మద్దతుగా, RomCom దాని టూల్‌కిట్ మరియు అవస్థాపనను విస్తరిస్తున్నట్లు నివేదించబడింది, C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) మరియు Lua (DROPCLUE)తో సహా బహుళ ప్రోగ్రామింగ్ భాషలు మరియు ప్లాట్‌ఫారమ్‌లను ఉపయోగించి రూపొందించబడిన విస్తృత శ్రేణి మాల్వేర్ భాగాలను కలుపుతోంది. .

లక్ష్యాలను రాజీ చేయడానికి స్పియర్-ఫిషింగ్ వ్యూహాలు

దాడి సీక్వెన్సులు ఒక డౌన్‌లోడర్‌ను అందించే స్పియర్-ఫిషింగ్ ఇమెయిల్‌తో ప్రారంభమవుతాయి, ఇది C++ (మెల్టింగ్‌క్లా) లేదా రస్ట్ (రస్టీక్లా)లో వ్రాయబడి ఉండవచ్చు. ఈ డౌన్‌లోడ్ షాడీ హమ్మాక్ మరియు డస్టీ హమ్మాక్ బ్యాక్‌డోర్‌లను అమలు చేయడానికి బాధ్యత వహిస్తుంది, అయితే మోసాన్ని నిర్వహించడానికి గ్రహీతకు డెకోయ్ డాక్యుమెంట్ ప్రదర్శించబడుతుంది.

DustyHammock కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌తో కమ్యూనికేట్ చేయడానికి, ఏకపక్ష ఆదేశాలను అమలు చేయడానికి మరియు దాని నుండి ఫైల్‌లను డౌన్‌లోడ్ చేయడానికి రూపొందించబడింది. దీనికి విరుద్ధంగా, ShadyHammock SingleCamperని ప్రారంభించేందుకు మరియు ఇన్‌కమింగ్ ఆదేశాలను పర్యవేక్షించడానికి ఒక వేదికగా పనిచేస్తుంది.

ShadyHammock యొక్క అదనపు సామర్థ్యాలు ఉన్నప్పటికీ, ఇది డస్టీ హమ్మాక్‌కు పూర్వీకుడిగా పరిగణించబడుతుంది, ఎందుకంటే రెండోది సెప్టెంబర్ 2024 నాటికి దాడులలో కనుగొనబడింది.

SingleCamper RAT అనేది తాజా పునరావృతం

RomCom RAT యొక్క తాజా పునరావృతమైన SingleCamper, వివిధ రాజీ తర్వాత కార్యకలాపాల కోసం రూపొందించబడింది. ఈ కార్యకలాపాలలో ప్రత్యర్థి-నియంత్రిత మౌలిక సదుపాయాలతో రిమోట్ టన్నెల్‌లను రూపొందించడానికి పుట్టీ నుండి ప్లింక్ సాధనాన్ని డౌన్‌లోడ్ చేయడం, నెట్‌వర్క్ నిఘా నిర్వహించడం, పార్శ్వ కదలికను సులభతరం చేయడం, వినియోగదారులు మరియు సిస్టమ్‌లను కనుగొనడం మరియు డేటాను వెలికితీయడం వంటివి ఉన్నాయి.

హై-ప్రొఫైల్ ఉక్రేనియన్ ఎంటిటీలను లక్ష్యంగా చేసుకున్న ఈ ప్రత్యేక దాడుల శ్రేణి, UAT-5647 యొక్క రెండు రెట్లు వ్యూహానికి అనుగుణంగా కనిపిస్తుంది: గూఢచర్య లక్ష్యాలకు మద్దతు ఇవ్వడానికి మరియు ransomware విస్తరణకు విఘాతం కలిగించడానికి దీర్ఘ-కాల ప్రాప్యతను ఏర్పాటు చేయడం మరియు డేటాను సేకరించడం. కార్యకలాపాలు మరియు రాజీ నుండి ఆర్థికంగా లాభం.

అదనంగా, మాల్వేర్ నిర్వహించే కీబోర్డ్ భాషా తనిఖీల ద్వారా సూచించిన విధంగా, పోలిష్ ఎంటిటీలను కూడా లక్ష్యంగా చేసుకుని ఉండవచ్చు.

ఉక్రెయిన్ అధునాతన మాల్వేర్ దాడుల లక్ష్యం

UAC-0050 అని పిలవబడే బెదిరింపు నటుడు సైబర్‌టాక్‌లకు సంబంధించి ఉక్రెయిన్ కంప్యూటర్ ఎమర్జెన్సీ రెస్పాన్స్ టీమ్ (CERT-UA) హెచ్చరికను అనుసరించి, రెమ్‌కోస్ RAT , సెక్టోప్‌రాట్‌తో సహా వివిధ మాల్వేర్ కుటుంబాలను ఉపయోగించి సున్నితమైన సమాచారం మరియు నిధులను లక్ష్యంగా చేసుకున్నాడు. , జెనో RAT, లుమ్మా స్టీలర్, మార్స్ స్టీలర్ మరియు మెడుజా స్టీలర్ .

UAC-0050 యొక్క ఆర్థిక దొంగతనం కార్యకలాపాలు ఉక్రేనియన్ వ్యాపారాలు మరియు ప్రైవేట్ వ్యవస్థాపకుల నుండి నిధులను దొంగిలించడంపై దృష్టి సారించాయి. Remcos మరియు TEKTONITRMS వంటి రిమోట్ కంట్రోల్ సాధనాల ద్వారా అకౌంటెంట్ల కంప్యూటర్‌లకు అనధికార ప్రాప్యతను పొందడం ద్వారా ఇది సాధించబడుతుంది.

సెప్టెంబర్ మరియు అక్టోబర్ 2024 మధ్య, UAC-0050 అటువంటి కనీసం 30 దాడులను అమలు చేసింది, ఇందులో రిమోట్ బ్యాంకింగ్ సిస్టమ్‌ల ద్వారా నకిలీ ఆర్థిక లావాదేవీలను సృష్టించడం, పదివేల నుండి అనేక మిలియన్ల UAH వరకు ఉంటుంది.

అదనంగా, CERT-UA టెలిగ్రామ్ మెసేజింగ్ ప్లాట్‌ఫారమ్‌లో @reserveplusbot ఖాతా ద్వారా మోసపూరిత సందేశాలను వ్యాప్తి చేసే ప్రయత్నాలను గమనించి నివేదించింది, ప్రత్యేక సాఫ్ట్‌వేర్‌ను ఇన్‌స్టాల్ చేసే ముసుగులో Meduza Stealer మాల్వేర్‌ను అమలు చేయడం లక్ష్యంగా పెట్టుకుంది.