SingleCamper RAT

至少自 2023 年底以來，名為 RomCom 的俄羅斯威脅行為者與烏克蘭政府機構和未知波蘭實體的新一波網路攻擊有關。

這些入侵的特徵是使用了RomCom RAT的變體，稱為 SingleCamper（又稱 SnipBot 或 RomCom 5.0）。資訊安全研究人員正在監控名為 UAT-5647 的活動群集。此版本直接從註冊表載入到記憶體中，並使用環回位址與其載入器進行通訊。

該威脅發動者發動了多次攻擊活動

RomCom 也被稱為 Storm-0978、Tropical Scorpius、UAC-0180、UNC2596 和 Void Rabisu 等別名，自 2022 年出現以來一直參與各種網路行動。

最近的評估表明，他們的攻擊頻率顯著增加，重點是建立對受感染網路的長期存取並提取有價值的數據，這表明他們的議程是由間諜活動驅動的。

據報導，為了支持這一點，RomCom 正在擴展其工具包和基礎設施，納入使用多種程式語言和平台構建的各種惡意軟體元件，包括C++ (ShadyHammock)、Rust (DustyHammock)、Go (GLUEEGG) 和Lua (DROPCLUE) 。

危害目標的魚叉式網路釣魚策略

攻擊序列以魚叉式網路釣魚電子郵件開始，該電子郵件提供一個下載器，可以用 C++ (MeltingClaw) 或 Rust (RustyClaw) 編寫。此下載程式負責部署 ShadyHammock 和 DustyHammock 後門，同時向收件者顯示誘餌文件以維持欺騙。

DustyHammock 旨在與命令與控制 (C2) 伺服器通訊、執行任意命令並從中下載檔案。相比之下，ShadyHammock 充當啟動 SingleCamper 和監控傳入命令的平台。

儘管 ShadyHammock 具有額外的功能，但它被認為是 DustyHammock 的前身，因為後者最近在 2024 年 9 月的攻擊中被發現。

SingleCamper RAT 是最新版本

SingleCamper 是 RomCom RAT 的最新版本，專為各種攻擊後活動而設計。這些活動包括從 PuTTY 下載 Plink 工具，以創建具有對手控制的基礎設施的遠端隧道、進行網路偵察、促進橫向移動、發現用戶和系統以及竊取資料。

這一系列針對知名烏克蘭實體的特定攻擊似乎符合 UAT-5647 的雙重策略：建立長期存取並長時間提取資料以支援間諜目標，並可能轉向勒索軟體部署以破壞網路安全。利益。

此外，正如惡意軟體進行的鍵盤語言檢查所示，波蘭實體也可能成為目標。

烏克蘭仍然是複雜惡意軟體攻擊的目標

在此訊息發布之前，烏克蘭電腦緊急應變小組 (CERT-UA) 就名為 UAC-0050 的威脅行為者發起的網路攻擊發出了警告，該攻擊者使用各種惡意軟體系列（包括Remcos RAT 、 SectopRAT）針對敏感資訊和資金進行攻擊。

UAC-0050 的金融竊盜行動主要是竊取烏克蘭企業和私人企業家的資金。這是透過使用 Remcos 和 TEKTONITRMS 等遠端控制工具未經授權存取會計師的計算機來實現的。

2024 年 9 月至 10 月期間，UAC-0050 執行了至少 30 次此類攻擊，其中涉及透過遠端銀行系統創建虛假金融交易，金額從數萬到數百萬 UAH 不等。

此外，CERT-UA 報告稱，觀察到有人試圖透過 Telegram 訊息平台上的 @reserveplusbot 帳戶傳播詐欺訊息，旨在以安裝特殊軟體為幌子部署 Meduza Stealer 惡意軟體。