Chuột SingleCamper

Nhóm tin tặc người Nga có tên RomCom đã liên quan đến làn sóng tấn công mạng mới nhằm vào các cơ quan chính phủ Ukraine và các thực thể Ba Lan không xác định kể từ ít nhất cuối năm 2023.

Các cuộc xâm nhập được đặc trưng bởi việc sử dụng một biến thể của RomCom RAT có tên là SingleCamper (hay còn gọi là SnipBot hoặc RomCom 5.0). Các nhà nghiên cứu Infosec đang theo dõi cụm hoạt động dưới biệt danh UAT-5647. Phiên bản này được tải trực tiếp từ sổ đăng ký vào bộ nhớ và sử dụng địa chỉ vòng lặp để giao tiếp với trình tải của nó.

Kẻ đe dọa này đã phát động nhiều chiến dịch tấn công

RomCom, còn được biết đến với các bí danh như Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 và Void Rabisu, đã tham gia vào nhiều hoạt động mạng khác nhau kể từ khi xuất hiện vào năm 2022. Các hoạt động này bao gồm các cuộc tấn công bằng phần mềm tống tiền, các chương trình tống tiền và thu thập thông tin đăng nhập có chủ đích.

Các đánh giá gần đây cho thấy tần suất tấn công của chúng tăng đáng kể, tập trung vào việc thiết lập quyền truy cập lâu dài vào các mạng bị xâm phạm và trích xuất dữ liệu có giá trị, cho thấy mục đích gián điệp.

Để hỗ trợ cho điều này, RomCom được cho là đang mở rộng bộ công cụ và cơ sở hạ tầng của mình, kết hợp nhiều thành phần phần mềm độc hại được xây dựng bằng nhiều ngôn ngữ lập trình và nền tảng khác nhau, bao gồm C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) và Lua (DROPCLUE).

Chiến thuật lừa đảo qua email để xâm phạm mục tiêu

Chuỗi tấn công bắt đầu bằng một email lừa đảo có nội dung là một trình tải xuống, có thể được viết bằng C++ (MeltingClaw) hoặc Rust (RustyClaw). Trình tải xuống này chịu trách nhiệm triển khai các cửa hậu ShadyHammock và DustyHammock, trong khi một tài liệu mồi nhử được hiển thị cho người nhận để duy trì sự lừa dối.

DustyHammock được thiết kế để giao tiếp với máy chủ Command-and-Control (C2), thực hiện các lệnh tùy ý và tải xuống các tệp từ máy chủ đó. Ngược lại, ShadyHammock hoạt động như một nền tảng để khởi chạy SingleCamper và giám sát các lệnh đến.

Mặc dù ShadyHammock có nhiều khả năng bổ sung, nó vẫn được coi là phiên bản tiền nhiệm của DustyHammock, vì phiên bản sau đã được phát hiện trong các cuộc tấn công gần đây nhất là vào tháng 9 năm 2024.

SingleCamper RAT là phiên bản mới nhất

SingleCamper, phiên bản mới nhất của RomCom RAT, được thiết kế cho nhiều hoạt động sau khi xâm phạm. Các hoạt động này bao gồm tải xuống công cụ Plink từ PuTTY để tạo đường hầm từ xa với cơ sở hạ tầng do đối thủ kiểm soát, tiến hành trinh sát mạng, tạo điều kiện cho di chuyển ngang, phát hiện người dùng và hệ thống và đánh cắp dữ liệu.

Chuỗi tấn công cụ thể này, nhắm vào các thực thể cấp cao của Ukraine, dường như phù hợp với chiến lược hai mặt của UAT-5647: thiết lập quyền truy cập dài hạn và trích xuất dữ liệu trong thời gian dài để hỗ trợ các mục tiêu gián điệp và có khả năng chuyển sang triển khai phần mềm tống tiền để phá vỡ hoạt động và thu lợi nhuận từ việc xâm phạm.

Ngoài ra, nhiều khả năng các thực thể Ba Lan cũng bị nhắm mục tiêu, như được chỉ ra bởi các cuộc kiểm tra ngôn ngữ bàn phím được phần mềm độc hại thực hiện.

Ukraine vẫn là mục tiêu của các cuộc tấn công phần mềm độc hại tinh vi

Thông báo này được đưa ra sau cảnh báo từ Đội ứng phó khẩn cấp máy tính của Ukraine (CERT-UA) về các cuộc tấn công mạng do một tác nhân đe dọa có tên là UAC-0050 thực hiện, nhắm vào thông tin nhạy cảm và tiền bằng nhiều họ phần mềm độc hại khác nhau, bao gồm Remcos RAT , SectopRAT, Xeno RAT, Lumma Stealer, Mars Stealer và Meduza Stealer .

Hoạt động trộm cắp tài chính của UAC-0050 tập trung vào việc đánh cắp tiền từ các doanh nghiệp và doanh nhân tư nhân Ukraine. Điều này đạt được bằng cách truy cập trái phép vào máy tính của kế toán thông qua các công cụ điều khiển từ xa như Remcos và TEKTONITRMS.

Từ tháng 9 đến tháng 10 năm 2024, UAC-0050 đã thực hiện ít nhất 30 cuộc tấn công như vậy, bao gồm việc tạo ra các giao dịch tài chính giả thông qua hệ thống ngân hàng từ xa, với số tiền từ hàng chục nghìn đến vài triệu UAH.

Ngoài ra, CERT-UA đã báo cáo quan sát thấy những nỗ lực phát tán tin nhắn lừa đảo thông qua tài khoản @reserveplusbot trên nền tảng nhắn tin Telegram, nhằm mục đích triển khai phần mềm độc hại Meduza Stealer dưới chiêu bài cài đặt phần mềm đặc biệt.