Tek Kampçı RAT

RomCom olarak bilinen Rus tehdit aktörü, en azından 2023 sonlarından bu yana Ukrayna hükümet kurumlarına ve bilinmeyen Polonya kuruluşlarına yönelik yeni bir siber saldırı dalgasıyla ilişkilendiriliyor.

Saldırılar, SingleCamper (diğer adıyla SnipBot veya RomCom 5.0) adlı bir RomCom RAT varyantının kullanımıyla karakterize edilir. Bilgi güvenliği araştırmacıları, UAT-5647 takma adı altında etkinlik kümesini izliyor. Bu sürüm doğrudan kayıt defterinden belleğe yüklenir ve yükleyicisiyle iletişim kurmak için bir geri döngü adresi kullanır.

Bu Tehdit Aktörü Çok Sayıda Saldırı Kampanyası Başlattı

Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 ve Void Rabisu gibi takma adlarla da bilinen RomCom, 2022'deki ortaya çıkışından bu yana çeşitli siber operasyonlara karıştı. Bu operasyonlar arasında fidye yazılımı saldırıları, gasp planları ve hedefli kimlik bilgisi toplama yer alıyor.

Son değerlendirmeler, saldırı sıklığında gözle görülür bir artış olduğunu, özellikle ele geçirilmiş ağlara uzun vadeli erişim sağlama ve değerli verileri çıkarma odaklı olduklarını, bunun da casusluk odaklı bir gündemi işaret ettiğini gösteriyor.

Bunu desteklemek için RomCom'un araç setini ve altyapısını genişlettiği, C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) ve Lua (DROPCLUE) dahil olmak üzere birden fazla programlama dili ve platformu kullanılarak oluşturulan çok çeşitli kötü amaçlı yazılım bileşenlerini dahil ettiği bildiriliyor.

Hedefleri Tehlikeye Atmak İçin Mızraklı Kimlik Avı Taktikleri

Saldırı dizileri, C++ (MeltingClaw) veya Rust (RustyClaw) ile yazılmış bir indiriciyi ileten bir mızraklı kimlik avı e-postasıyla başlar. Bu indirici, ShadyHammock ve DustyHammock arka kapılarını dağıtmaktan sorumludur, aldatmacayı sürdürmek için alıcıya bir aldatma belgesi gösterilir.

DustyHammock, bir Komuta ve Kontrol (C2) sunucusuyla iletişim kurmak, keyfi komutları yürütmek ve ondan dosyaları indirmek için tasarlanmıştır. Buna karşılık, ShadyHammock, SingleCamper'ı başlatmak ve gelen komutları izlemek için bir platform işlevi görür.

ShadyHammock'un ek yeteneklerine rağmen, DustyHammock'un öncülü olarak kabul ediliyor, çünkü ikincisi en son Eylül 2024'te bile saldırılarda tespit edilmişti.

SingleCamper RAT En Son İterasyondur

RomCom RAT'ın en son yinelemesi olan SingleCamper, çeşitli uzlaşma sonrası aktiviteler için tasarlanmıştır. Bu aktiviteler arasında PuTTY'den Plink aracını indirerek düşman kontrollü altyapı ile uzak tüneller oluşturmak, ağ keşfi yapmak, yanal hareketi kolaylaştırmak, kullanıcıları ve sistemleri keşfetmek ve verileri dışarı sızdırmak yer alır.

Üst düzey Ukraynalı kuruluşları hedef alan bu özel saldırı dizisi, UAT-5647'nin iki yönlü stratejisiyle örtüşüyor: casusluk hedeflerini desteklemek için uzun vadeli erişim sağlamak ve uzun süreler boyunca veri çıkarmak ve potansiyel olarak operasyonları aksatmak ve ihlalden maddi kazanç elde etmek için fidye yazılımı dağıtımına yönelmek.

Ayrıca, kötü amaçlı yazılımın gerçekleştirdiği klavye dili kontrollerinden anlaşıldığı üzere, Polonyalı kuruluşların da hedef alınmış olması muhtemel.

Ukrayna, Karmaşık Kötü Amaçlı Yazılım Saldırılarının Hedefi Olmaya Devam Ediyor

Duyuru, Ukrayna Bilgisayar Acil Durum Müdahale Ekibi'nin (CERT-UA), Remcos RAT , SectopRAT , Xeno RAT, Lumma Stealer, Mars Stealer ve Meduza Stealer gibi çeşitli kötü amaçlı yazılım ailelerini kullanarak hassas bilgileri ve fonları hedef alan UAC-0050 olarak bilinen bir tehdit aktörü tarafından gerçekleştirilen siber saldırılara ilişkin uyarısının ardından geldi.

UAC-0050'nin finansal hırsızlık operasyonları, Ukraynalı işletmelerden ve özel girişimcilerden fon çalmaya odaklanıyor. Bu, Remcos ve TEKTONITRMS gibi uzaktan kontrol araçları aracılığıyla muhasebecilerin bilgisayarlarına yetkisiz erişim sağlanarak gerçekleştiriliyor.

UAC-0050, Eylül-Ekim 2024 arasında, uzak bankacılık sistemleri üzerinden on binlerce UAH'dan birkaç milyon UAH'a kadar değişen miktarlarda sahte finansal işlemler oluşturmayı içeren en az 30 saldırı gerçekleştirdi.

CERT-UA ayrıca Telegram mesajlaşma platformunda @reserveplusbot hesabı üzerinden, özel yazılım yükleme kisvesi altında Meduza Stealer zararlı yazılımını dağıtmayı amaçlayan sahte mesajların yayılma girişimlerini gözlemlediğini bildirdi.