ซิงเกิลแคมเปอร์ RAT
RomCom ซึ่งเป็นผู้ก่อภัยคุกคามจากรัสเซีย มีส่วนเกี่ยวข้องกับการโจมตีทางไซเบอร์รูปแบบใหม่ที่มุ่งเป้าไปที่หน่วยงานของรัฐบาลยูเครนและหน่วยงานที่ไม่รู้จักของโปแลนด์มาตั้งแต่ช่วงปลายปี 2023 เป็นอย่างน้อย
การบุกรุกมีลักษณะเฉพาะคือการใช้ RomCom RAT รุ่นต่างๆ ที่เรียกว่า SingleCamper (หรือเรียกอีกอย่างว่า SnipBot หรือ RomCom 5.0) นักวิจัยด้าน Infosec กำลังตรวจสอบคลัสเตอร์กิจกรรมภายใต้ชื่อ UAT-5647 เวอร์ชันนี้โหลดโดยตรงจากรีจิสทรีลงในหน่วยความจำและใช้ที่อยู่ลูปแบ็กเพื่อสื่อสารกับตัวโหลด
สารบัญ
ผู้ก่อภัยคุกคามรายนี้ได้เปิดตัวแคมเปญโจมตีมากมาย
RomCom หรือที่รู้จักกันในชื่ออื่น ๆ เช่น Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 และ Void Rabisu มีส่วนเกี่ยวข้องกับปฏิบัติการทางไซเบอร์ต่าง ๆ นับตั้งแต่เกิดขึ้นในปี 2022 ปฏิบัติการเหล่านี้รวมถึงการโจมตีด้วยแรนซัมแวร์ การเรียกค่าไถ่ และการรวบรวมข้อมูลประจำตัวที่เป็นเป้าหมาย
การประเมินเมื่อเร็ว ๆ นี้บ่งชี้ว่าความถี่ในการโจมตีเพิ่มขึ้นอย่างเห็นได้ชัด โดยมุ่งเน้นไปที่การสร้างช่องทางการเข้าถึงเครือข่ายที่ถูกบุกรุกในระยะยาวและการดึงข้อมูลที่มีค่าออกมา ซึ่งชี้ให้เห็นถึงวาระที่ขับเคลื่อนด้วยการจารกรรม
เพื่อสนับสนุนเรื่องนี้ มีรายงานว่า RomCom กำลังขยายชุดเครื่องมือและโครงสร้างพื้นฐาน โดยรวมเอาส่วนประกอบของมัลแวร์มากมายที่สร้างขึ้นโดยใช้ภาษาการเขียนโปรแกรมและแพลตฟอร์มหลากหลาย รวมถึง C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) และ Lua (DROPCLUE)
กลวิธีการฟิชชิ่งแบบเจาะจงเพื่อโจมตีเป้าหมาย
ลำดับการโจมตีเริ่มต้นด้วยอีเมลฟิชชิ่งแบบเจาะจงที่ส่งตัวดาวน์โหลดซึ่งอาจเขียนด้วย C++ (MeltingClaw) หรือ Rust (RustyClaw) ตัวดาวน์โหลดนี้รับผิดชอบในการติดตั้งแบ็คดอร์ ShadyHammock และ DustyHammock ในขณะที่แสดงเอกสารหลอกลวงให้ผู้รับเห็นเพื่อรักษาการหลอกลวง
DustyHammock ออกแบบมาเพื่อสื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C2) ดำเนินการคำสั่งตามอำเภอใจ และดาวน์โหลดไฟล์จากเซิร์ฟเวอร์ ในทางกลับกัน ShadyHammock ทำหน้าที่เป็นแพลตฟอร์มสำหรับเปิดใช้งาน SingleCamper และตรวจสอบคำสั่งที่เข้ามา
แม้ว่า ShadyHammock จะมีความสามารถเพิ่มเติม แต่ก็ถือว่าเป็นรุ่นก่อนของ DustyHammock เนื่องจากตัวหลังเพิ่งถูกตรวจพบในการโจมตีเมื่อเดือนกันยายน พ.ศ. 2567
SingleCamper RAT คือรุ่นล่าสุด
SingleCamper ซึ่งเป็น RomCom RAT เวอร์ชันล่าสุด ได้รับการออกแบบมาเพื่อกิจกรรมหลังการบุกรุกที่หลากหลาย กิจกรรมเหล่านี้ได้แก่ การดาวน์โหลดเครื่องมือ Plink จาก PuTTY เพื่อสร้างอุโมงค์ระยะไกลที่มีโครงสร้างพื้นฐานที่ควบคุมโดยฝ่ายตรงข้าม การดำเนินการลาดตระเวนเครือข่าย การอำนวยความสะดวกในการเคลื่อนที่ในแนวขวาง การค้นหาผู้ใช้และระบบ และการขโมยข้อมูล
การโจมตีชุดพิเศษนี้ ซึ่งมุ่งเป้าไปที่หน่วยงานที่มีชื่อเสียงของยูเครน ดูเหมือนจะสอดคล้องกับกลยุทธ์สองด้านของ UAT-5647: เพื่อสร้างการเข้าถึงระยะยาวและดึงข้อมูลออกมาเป็นระยะเวลานานเพื่อสนับสนุนเป้าหมายในการจารกรรม และอาจเปลี่ยนมาใช้แรนซัมแวร์เพื่อขัดขวางการทำงานและแสวงหาผลประโยชน์ทางการเงินจากการประนีประนอมดังกล่าว
นอกจากนี้ ยังเป็นไปได้ว่าหน่วยงานของโปแลนด์ก็ตกเป็นเป้าหมายเช่นกัน ดังที่ระบุโดยการตรวจสอบภาษาแป้นพิมพ์ที่ดำเนินการโดยมัลแวร์
ยูเครนยังคงเป็นเป้าหมายของการโจมตีด้วยมัลแวร์ที่ซับซ้อน
ประกาศดังกล่าวตามมาหลังจากที่ทีมตอบสนองเหตุฉุกเฉินด้านคอมพิวเตอร์ของยูเครน (CERT-UA) ออกคำเตือนเกี่ยวกับการโจมตีทางไซเบอร์ที่ดำเนินการโดยผู้ก่อภัยคุกคามที่รู้จักกันในชื่อ UAC-0050 ซึ่งกำหนดเป้าหมายเป็นข้อมูลและเงินทุนที่ละเอียดอ่อน โดยใช้มัลแวร์หลายตระกูล รวมถึง Remcos RAT , SectopRAT, Xeno RAT, Lumma Stealer, Mars Stealer และ Meduza Stealer
ปฏิบัติการโจรกรรมทางการเงินของ UAC-0050 มุ่งเน้นไปที่การขโมยเงินจากธุรกิจในยูเครนและผู้ประกอบการเอกชน ซึ่งทำได้โดยการเข้าถึงคอมพิวเตอร์ของนักบัญชีโดยไม่ได้รับอนุญาตผ่านเครื่องมือควบคุมระยะไกล เช่น Remcos และ TEKTONITRMS
ระหว่างเดือนกันยายนถึงตุลาคม พ.ศ. 2567 UAC-0050 ได้ดำเนินการโจมตีดังกล่าวอย่างน้อย 30 ครั้ง ซึ่งเกี่ยวข้องกับการสร้างธุรกรรมทางการเงินปลอมผ่านระบบธนาคารระยะไกล โดยมียอดตั้งแต่หลักหมื่นไปจนถึงหลายล้าน UAH
นอกจากนี้ CERT-UA ยังได้รายงานว่าพบเห็นความพยายามในการแพร่กระจายข้อความหลอกลวงผ่านบัญชี @reserveplusbot บนแพลตฟอร์มการส่งข้อความของ Telegram โดยมีจุดมุ่งหมายเพื่อติดตั้งมัลแวร์ Meduza Stealer โดยอ้างว่าเป็นการติดตั้งซอฟต์แวร์พิเศษ
นามแฝง
ผู้จำหน่ายความปลอดภัย 2 รายระบุว่าไฟล์นี้เป็นอันตราย
| โปรแกรมแอนตี้ไวรัส | การตรวจจับ |
|---|---|
| - | RomCom 5.0 |
| - | SnipBot |
