SingleCamper RAT

自 2023 年底以来，名为 RomCom 的俄罗斯威胁行为者就与针对乌克兰政府机构和未知的波兰实体的新一波网络攻击有关。

入侵行为的特点是使用RomCom RAT的一个变种 SingleCamper（又名 SnipBot 或 RomCom 5.0）。信息安全研究人员正在监控代号为 UAT-5647 的活动集群。此版本直接从注册表加载到内存中，并使用环回地址与其加载程序进行通信。

该威胁行为者已发起多次攻击活动

RomCom，也被称为 Storm-0978、Tropical Scorpius、UAC-0180、UNC2596 和 Void Rabisu，自 2022 年出现以来就参与了各种网络行动。这些行动包括勒索软件攻击、勒索计划和有针对性的凭证收集。

最近的评估表明，他们的攻击频率明显增加，重点是建立对受感染网络的长期访问并提取有价值的数据，这表明他们有间谍活动的目的。

据报道，为实现这一目标，RomCom 正在扩展其工具包和基础设施，整合使用多种编程语言和平台构建的各种恶意软件组件，包括 C++（ShadyHammock）、Rust（DustyHammock）、Go（GLUEEGG）和 Lua（DROPCLUE）。

鱼叉式网络钓鱼策略危害目标

攻击序列始于一封鱼叉式网络钓鱼电子邮件，该邮件会发送一个下载程序，该程序可能用 C++（MeltingClaw）或 Rust（RustyClaw）编写。该下载程序负责部署 ShadyHammock 和 DustyHammock 后门，同时向收件人显示诱饵文档以维持欺骗。

DustyHammock 旨在与命令和控制 (C2) 服务器通信，执行任意命令并从中下载文件。相比之下，ShadyHammock 则充当启动 SingleCamper 和监控传入命令的平台。

尽管 ShadyHammock 具有附加功能，但它被认为是 DustyHammock 的前身，因为后者最近在 2024 年 9 月的攻击中被发现。

SingleCamper RAT 是最新版本

SingleCamper 是 RomCom RAT 的最新版本，专为各种入侵后活动而设计。这些活动包括从 PuTTY 下载 Plink 工具以创建具有攻击者控制的基础设施的远程隧道、进行网络侦察、促进横向移动、发现用户和系统以及窃取数据。

这一系列针对乌克兰知名实体的攻击似乎符合 UAT-5647 的双重战略：建立长期访问权限并长期提取数据以支持间谍目标，并可能转向部署勒索软件来破坏运营并从中获取经济利益。

此外，恶意软件进行的键盘语言检查表明，波兰实体也可能成为目标。

乌克兰仍是复杂恶意软件攻击的目标

此前，乌克兰计算机应急反应小组（CERT-UA）警告称，一个名为 UAC-0050 的威胁行为者正在发动网络攻击，该行为者使用各种恶意软件家族窃取敏感信息和资金，其中包括Remcos RAT 、 SectopRAT、 Xeno RAT、Lumma Stealer、 Mars Stealer和Meduza Stealer 。

UAC-0050 的金融盗窃行动主要针对乌克兰企业和私营企业家的资金。他们通过 Remcos 和 TEKTONITRMS 等远程控制工具未经授权访问会计师的计算机。

2024 年 9 月至 10 月期间，UAC-0050 发起了至少 30 次此类攻击，涉及通过远程银行系统创建虚假金融交易，金额从几万到几百万乌克兰格里夫纳不等。

此外，CERT-UA 报告称，观察到有人试图通过 Telegram 消息平台上的 @reserveplusbot 帐户传播欺诈消息，目的是以安装特殊软件为幌子部署 Meduza Stealer 恶意软件。