RomCom olarak bilinen Rus tehdit aktörünün, en azından 2023’ün sonlarından bu yana Ukrayna devlet kurumlarını ve bilinmeyen Polonya kuruluşlarını hedef alan yeni bir siber saldırı dalgasıyla bağlantısı bulunuyor.
Cisco Talos, izinsiz girişlerin, UAT-5647 adı altında faaliyet kümesini izleyen RomCom RAT’ın SingleCamper (diğer adıyla SnipBot veya RomCom 5.0) adlı bir çeşidinin kullanılmasıyla karakterize edildiğini söyledi.
Güvenlik araştırmacıları Dmytro Korzhevin, Asheer Malhotra, Vanja Svajcer ve Vitor Ventura, “Bu sürüm doğrudan kayıt defterinden belleğe yükleniyor ve yükleyiciyle iletişim kurmak için bir geridöngü adresi kullanıyor.” not edildi.
Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 ve Void Rabisu olarak da takip edilen RomCom, 2022’de ortaya çıkışından bu yana fidye yazılımı, gasp ve hedefli kimlik bilgisi toplama gibi çok amaçlı operasyonlara katıldı.
Saldırılarının operasyonel temposunun, ele geçirilen ağlarda uzun vadeli kalıcılık sağlamak ve veri sızdırmak amacıyla son aylarda arttığı, bunun da açık bir casusluk gündemine işaret ettiği değerlendiriliyor.
Bu amaçla, tehdit aktörünün C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG), ve Lua (DROPCLUE).
Saldırı zincirleri, sırasıyla ShadyHammock ve DustyHammock arka kapılarını dağıtmaya hizmet eden C++ (MeltingClaw) veya Rust (RustyClaw) ile kodlanmış bir indirici sunan bir hedef odaklı kimlik avı mesajıyla başlıyor. Buna paralel olarak, hileyi sürdürmek için alıcıya sahte bir belge gösterilir.
DustyHammock bir komuta ve kontrol (C2) sunucusuyla iletişim kurmak, isteğe bağlı komutları çalıştırmak ve sunucudan dosya indirmek üzere tasarlanmış olsa da, ShadyHammock, SingleCamper için bir başlatma paneli görevi görmenin yanı sıra gelen komutları dinlemek için de çalışır.
ShadyHammock’un ek özelliklerine rağmen, DustyHammock’un Eylül 2024 gibi yakın bir tarihteki saldırılarda gözlemlendiği gerçeği göz önüne alındığında, bunun DustyHammock’un öncülü olduğuna inanılıyor.
RomCom RAT’ın en son sürümü olan SingleCamper, düşman kontrollü altyapı, ağ keşfi, yanal hareket, kullanıcı ve sistem keşfi ile uzak tüneller kurmak için PuTTY’nin Plink aracının indirilmesini içeren çok çeşitli uzlaşma sonrası faaliyetlerden sorumludur. veri sızması.
“Ukrayna’daki yüksek profilli varlıkları hedef alan bu spesifik saldırı dizisi, muhtemelen UAT-5647’nin aşamalı bir şekilde iki yönlü stratejisine hizmet etmeyi amaçlıyor: uzun vadeli erişim sağlamak ve casusluk amaçlarını desteklemek için mümkün olduğu kadar uzun süre veri sızdırmak ve ardından Araştırmacılar, potansiyel olarak bu uzlaşmayı bozmak ve muhtemelen finansal olarak kazanç elde etmek için fidye yazılımı dağıtımına yönelme potansiyeline sahip olduklarını söyledi.
“Kötü amaçlı yazılım tarafından gerçekleştirilen klavye dili kontrollerine göre Polonyalı kuruluşların da hedef alınması muhtemeldir.”
Açıklama, Ukrayna Bilgisayar Acil Durum Müdahale Ekibi’nin (CERT-UA), Remcos RAT, SectopRAT, Xeno RAT gibi çeşitli kötü amaçlı yazılım ailelerini kullanarak fonların yanı sıra hassas bilgileri çalmak için UAC-0050 adlı bir tehdit aktörü tarafından gerçekleştirilen siber saldırılara karşı uyarması üzerine geldi. Lumma Hırsızı, Mars Hırsızı ve Meduza Hırsızı.
CERT-UA, “UAC-0050’nin finansal hırsızlık faaliyetleri, öncelikle Remcos ve TEKTONITRMS gibi uzaktan kontrol araçları aracılığıyla muhasebecilerin bilgisayarlarına yetkisiz erişim elde ettikten sonra Ukraynalı işletmelerin ve özel girişimcilerin hesaplarından para çalmayı içeriyor.” söz konusu.
“Eylül – Ekim 2024 döneminde, UAC-0050 bu tür en az 30 girişimde bulundu. Bu saldırılar, uzak bankacılık sistemleri aracılığıyla on binlerce ila birkaç milyon UAH arasında değişen tutarlarda sahte mali ödemeler oluşturmayı içeriyor.”
CERT-UA ayrıca, Telegram mesaj uygulamasında @reserveplusbot hesabı aracılığıyla, “özel bir yazılım” yükleme bahanesi altında Meduza Stealer kötü amaçlı yazılımını dağıtmayı amaçlayan kötü amaçlı mesajlar dağıtma girişimlerini gözlemlediğini de ortaya çıkardı.
Ajans, “@reserveplusbot hesabı, askere alınanların ve yedek askerlerin askere alma ofislerine gitmek yerine verilerini uzaktan güncellemelerini sağlayan bir uygulama olan ‘Reserve+’ın teknik desteğini taklit etmek için bir Telegram botu gibi görünüyor.” söz konusu. “Böyle bir hesabın gerçekten de Mayıs 2024’te ‘Reserve+’nın teknik destek iletişim kişilerinden biri olarak listelendiğini belirtmek gerekir.”