SingleCamper RAT

Ang Russian threat actor na kilala bilang RomCom ay na-link sa isang bagong wave ng cyber attacks na naglalayong sa mga ahensya ng gobyerno ng Ukraine at hindi kilalang mga entity ng Poland mula pa noong huling bahagi ng 2023.

Ang mga panghihimasok ay nailalarawan sa pamamagitan ng paggamit ng isang variant ng RomCom RAT na tinatawag na SingleCamper (aka SnipBot o RomCom 5.0). Sinusubaybayan ng mga mananaliksik ng Infosec ang cluster ng aktibidad sa ilalim ng moniker na UAT-5647. Ang bersyon na ito ay direktang na-load mula sa registry papunta sa memorya at gumagamit ng loopback address upang makipag-ugnayan sa loader nito.

Ang Threat Actor na ito ay Naglunsad ng Maraming Attack Campaign

Ang RomCom, na kilala rin sa mga alyas tulad ng Storm-0978, Tropical Scorpius, UAC-0180, UNC2596, at Void Rabisu, ay sangkot sa iba't ibang cyber operations simula nang lumitaw ito noong 2022. Kasama sa mga operasyong ito ang mga ransomware attacks, extortion scheme, at ang mga target koleksyon ng mga kredensyal.

Ang mga kamakailang pagtatasa ay nagpapahiwatig ng isang kapansin-pansing pagtaas sa dalas ng kanilang pag-atake, na may pagtuon sa pagtatatag ng pangmatagalang access sa mga nakompromisong network at pagkuha ng mahalagang data, na tumuturo sa isang agenda na hinimok ng espionage.

Bilang suporta dito, pinapalawak umano ng RomCom ang toolkit at imprastraktura nito, na nagsasama ng malawak na hanay ng mga bahagi ng malware na binuo gamit ang maramihang mga programming language at platform, kabilang ang C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG), at Lua (DROPCLUE) .

Spear-phishing Tactics para Ikompromiso ang Mga Target

Ang mga sequence ng pag-atake ay nagsisimula sa isang spear-phishing na email na naghahatid ng isang downloader, na maaaring nakasulat sa alinman sa C++ (MeltingClaw) o Rust (RustyClaw). Ang downloader na ito ay responsable para sa pag-deploy ng ShadyHammock at DustyHammock backdoors, habang ang isang decoy na dokumento ay ipinapakita sa tatanggap upang mapanatili ang panlilinlang.

Ang DustyHammock ay idinisenyo upang makipag-ugnayan sa isang Command-and-Control (C2) server, magsagawa ng mga arbitrary na command, at mag-download ng mga file mula dito. Sa kabaligtaran, gumagana ang ShadyHammock bilang isang platform para sa paglulunsad ng SingleCamper at pagsubaybay sa mga papasok na command.

Sa kabila ng mga karagdagang kakayahan ng ShadyHammock, ito ay itinuturing na nauna sa DustyHammock, dahil ang huli ay natukoy sa mga pag-atake kamakailan noong Setyembre 2024.

Ang SingleCamper RAT ay ang Pinakabagong Pag-ulit

Ang SingleCamper, ang pinakabagong pag-ulit ng RomCom RAT, ay idinisenyo para sa iba't ibang aktibidad pagkatapos ng kompromiso. Kasama sa mga aktibidad na ito ang pag-download ng Plink tool mula sa PuTTY upang lumikha ng mga malalayong tunnel na may imprastraktura na kinokontrol ng kalaban, pagsasagawa ng network reconnaissance, pagpapadali sa paggalaw sa gilid, pagtuklas ng mga user at system at pag-exfiltrate ng data.

Ang partikular na serye ng mga pag-atake na ito, na naglalayong sa mga high-profile na entity ng Ukraine, ay lumilitaw na umaayon sa dalawang-tiklop na diskarte ng UAT-5647: upang magtatag ng pangmatagalang pag-access at kumuha ng data para sa pinalawig na mga panahon upang suportahan ang mga layunin ng espionage at potensyal na i-pivot sa ransomware deployment upang maantala operasyon at kumita sa pananalapi mula sa kompromiso.

Bukod pa rito, malamang na ang mga Polish na entity ay na-target din, gaya ng ipinahiwatig ng mga pagsusuri sa wika ng keyboard na isinagawa ng malware.

Ang Ukraine ay Nananatiling Target ng Mga Sopistikadong Pag-atake sa Malware

Ang anunsyo ay kasunod ng babala mula sa Computer Emergency Response Team ng Ukraine (CERT-UA) tungkol sa mga cyberattacks na isinagawa ng isang threat actor na kilala bilang UAC-0050, na nagta-target ng sensitibong impormasyon at mga pondo gamit ang iba't ibang pamilya ng malware, kabilang ang Remcos RAT , ang SectopRAT , ang Xeno RAT, ang Lumma Stealer, ang Mars Stealer at ang Meduza Stealer .

Nakatuon ang mga operasyon ng pagnanakaw sa pananalapi ng UAC-0050 sa pagnanakaw ng mga pondo mula sa mga negosyong Ukrainian at pribadong negosyante. Ito ay nakakamit sa pamamagitan ng pagkakaroon ng hindi awtorisadong pag-access sa mga computer ng mga accountant sa pamamagitan ng mga remote control tool tulad ng Remcos at TEKTONITRMS.

Sa pagitan ng Setyembre at Oktubre 2024, nagsagawa ang UAC-0050 ng hindi bababa sa 30 ganoong pag-atake, na kinasasangkutan ng paglikha ng mga pekeng transaksyon sa pananalapi sa pamamagitan ng mga malalayong sistema ng pagbabangko, na may mga halagang mula sa sampu-sampung libo hanggang ilang milyong UAH.

Bilang karagdagan, ang CERT-UA ay nag-ulat ng pagmamasid sa mga pagtatangka na magpakalat ng mga mapanlinlang na mensahe sa pamamagitan ng @reserveplusbot account sa Telegram messaging platform, na naglalayong i-deploy ang Meduza Stealer malware sa ilalim ng pagkukunwari ng pag-install ng espesyal na software.