自 2023 年底以来,名为RomCom的俄罗斯威胁组织与针对乌克兰政府机构和未知的波兰实体的攻击有关。
思科 Talos 表示,这些入侵行为的特点是使用名为 SingleCamper(又名SnipBot或 RomCom 5.0)的RomCom RAT变种,思科 Talos 正在监控代号为 UAT-5647 的活动集群。
攻击链
安全研究人员 Dmytro Korzhevin、Asheer Malhotra、Vanja Svajcer 和 Vitor Ventura指出:“该版本直接从注册表加载到内存中,并使用环回地址与其加载器进行通信。”
RomCom,也被追踪为 Storm-0978、Tropical Scorpius、UAC-0180、UNC2596 和 Void Rabisu,自 2022 年出现以来,一直从事勒索软件、敲诈勒索和有针对性的凭证收集等多种动机的网络攻击活动。
据评估,近几个月来,他们的攻击节奏有所加快,目的是在受感染的网络上建立长期驻留并窃取数据,这表明他们有明显的间谍活动目的。
威胁组织正在“积极扩展其工具和基础设施,以支持用不同语言和平台编写的各种恶意软件组件”,例如 C++(ShadyHammock)、Rust(DustyHammock)、Go(GLUEEGG)和 Lua(DROPCLUE)。
攻击链从一条鱼叉式网络钓鱼消息开始,该消息会发送一个下载程序(以 C++(MeltingClaw)或 Rust(RustyClaw)编写),用于分别部署 ShadyHammock 和 DustyHammock 后门。同时,还会向收件人显示一个诱饵文档以维持诡计。
DustyHammock 被设计用于联系命令和控制 (C2) 服务器、运行任意命令以及从服务器下载文件,而 ShadyHammock 则充当 SingleCamper 的启动板并监听传入的命令。
尽管 ShadyHammock 具有附加功能,但人们认为它是 DustyHammock 的前身,因为后者最近在 2024 年 9 月的攻击中被发现。
SingleCamper 是 RomCom RAT 的最新版本,负责广泛的入侵后活动,包括下载 PuTTY 的 Plink 工具来与对手控制的基础设施建立远程隧道、网络侦察、横向移动、用户和系统发现以及数据泄露。
研究人员表示:“这一系列针对乌克兰知名实体的特定攻击很可能是为了分阶段实施 UAT-5647 的双管齐下战略——建立长期访问权限并尽可能长时间地窃取数据以支持间谍动机,然后可能转向部署勒索软件来破坏并从中获取经济利益。”
“根据恶意软件执行的键盘语言检查,波兰实体也可能成为攻击目标。”
技术报告:https://blog.talosintelligence.com/uat-5647-romcom/
新闻链接:
https://thehackernews.com/2024/10/russian-romcom-attacks-target-ukrainian.html
