SingleCamper RAT

Російського загрозливого актора, відомого як RomCom, принаймні з кінця 2023 року пов’язують з новою хвилею кібератак, спрямованих на українські урядові установи та невідомі польські організації.

Вторгнення характеризуються використанням варіанту RomCom RAT під назвою SingleCamper (він же SnipBot або RomCom 5.0). Дослідники Infosec спостерігають за кластером активності під псевдонімом UAT-5647. Ця версія завантажується безпосередньо з реєстру в пам'ять і використовує петлеву адресу для зв'язку з завантажувачем.

Цей загрозливий актор запустив численні кампанії нападів

RomCom, також відомий під такими псевдонімами, як Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 і Void Rabisu, брав участь у різних кіберопераціях з моменту своєї появи в 2022 році. Ці операції включають атаки програм-вимагачів, схеми вимагання та цілеспрямовані збір вірчих грамот.

Останні оцінки вказують на помітне збільшення частоти їхніх атак, зосереджених на встановленні довгострокового доступу до скомпрометованих мереж і вилученні цінних даних, що вказує на шпигунство.

На підтримку цього RomCom, як повідомляється, розширює свій набір інструментів та інфраструктуру, включаючи широкий спектр шкідливих компонентів, створених з використанням кількох мов програмування та платформ, включаючи C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) і Lua (DROPCLUE). .

Тактика фішингу для компрометації цілей

Послідовність атаки починається з фішингового електронного листа, який доставляє завантажувач, який може бути написаний або C++ (MeltingClaw), або Rust (RustyClaw). Цей завантажувач відповідає за розгортання бекдорів ShadyHammock і DustyHammock, а одержувачу відображається документ-приманка, щоб зберегти обман.

DustyHammock призначений для зв’язку з сервером командування та управління (C2), виконання довільних команд і завантаження файлів з нього. Навпаки, ShadyHammock функціонує як платформа для запуску SingleCamper і моніторингу вхідних команд.

Незважаючи на додаткові можливості ShadyHammock, його вважають попередником DustyHammock, оскільки останній був виявлений в атаках ще у вересні 2024 року.

SingleCamper RAT — остання версія

SingleCamper, остання версія RomCom RAT, розроблена для різноманітних дій після компромісу. Ці дії включають завантаження інструменту Plink з PuTTY для створення віддалених тунелів з інфраструктурою, контрольованою супротивником, проведення розвідки мережі, полегшення бокового руху, виявлення користувачів і систем і вилучення даних.

Ця конкретна серія атак, націлених на високопоставлені українські організації, схоже, узгоджується з подвійною стратегією UAT-5647: встановити довгостроковий доступ і витягти дані протягом тривалих періодів для підтримки цілей шпигунства та потенційно перейти до розгортання програм-вимагачів для зриву операції та отримати фінансову вигоду від компромісу.

Крім того, цілком ймовірно, що польські організації також були ціллю, як вказують перевірки мови клавіатури, проведені шкідливим програмним забезпеченням.

Україна залишається мішенню складних атак зловмисного програмного забезпечення

Оголошення було зроблено після попередження Групи реагування на надзвичайні ситуації в області комп’ютерних ситуацій України (CERT-UA) щодо кібератак, здійснених зловмисником, відомим як UAC-0050, який атакує конфіденційну інформацію та кошти за допомогою різних сімей шкідливих програм, зокрема Remcos RAT , SectopRAT. , Xeno RAT, Lumma Stealer, Mars Stealer і Meduza Stealer .

Фінансові крадіжки UAC-0050 зосереджені на розкраданні коштів українських підприємств та приватних підприємців. Це досягається шляхом отримання несанкціонованого доступу до комп’ютерів бухгалтерів за допомогою інструментів дистанційного керування, таких як Remcos і TEKTONITRMS.

У період з вересня по жовтень 2024 року UAC-0050 здійснив щонайменше 30 таких атак, які передбачали створення фальшивих фінансових операцій через системи дистанційного банкінгу на суму від десятків тисяч до кількох мільйонів гривень.

Крім того, CERT-UA повідомляв про спроби розповсюдження шахрайських повідомлень через обліковий запис @reserveplusbot на платформі обміну повідомленнями Telegram з метою розгортання шкідливої програми Meduza Stealer під виглядом встановлення спеціального програмного забезпечення.