El actor de amenazas ruso conocido como RomCom ha sido vinculado a una nueva ola de ciberataques dirigidos a agencias gubernamentales ucranianas y entidades polacas desconocidas desde al menos finales de 2023.
Las intrusiones se caracterizan por el uso de una variante de RomCom RAT denominada SingleCamper (también conocido como SnipBot o RomCom 5.0), dijo Cisco Talos, que está monitoreando el grupo de actividad bajo el nombre de UAT-5647.
“Esta versión se carga directamente desde el registro en la memoria y utiliza una dirección loopback para comunicarse con su cargador”, afirman los investigadores de seguridad Dmytro Korzhevin, Asheer Malhotra, Vanja Svajcer y Vitor Ventura. anotado.
RomCom, también identificado como Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 y Void Rabisu, ha participado en operaciones multimotivacionales como ransomware, extorsión y recopilación de credenciales selectivas desde su aparición en 2022.
Se ha evaluado que el ritmo operativo de sus ataques ha aumentado en los últimos meses con el objetivo de establecer una persistencia a largo plazo en las redes comprometidas y exfiltrar datos, lo que sugiere una clara agenda de espionaje.
Con ese fin, se dice que el actor de amenazas está “expandiendo agresivamente sus herramientas e infraestructura para admitir una amplia variedad de componentes de malware creados en diversos lenguajes y plataformas”, como C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG), y Lua (DROPCLUE).
Las cadenas de ataque comienzan con un mensaje de phishing que entrega un descargador, ya sea codificado en C++ (MeltingClaw) o Rust (RustyClaw), que sirve para implementar las puertas traseras ShadyHammock y DustyHammock, respectivamente. Paralelamente, se muestra al destinatario un documento señuelo para mantener la artimaña.
Si bien DustyHammock está diseñado para comunicarse con un servidor de comando y control (C2), ejecutar comandos arbitrarios y descargar archivos del servidor, ShadyHammock actúa como una plataforma de lanzamiento para SingleCamper además de escuchar los comandos entrantes.
A pesar de las características adicionales de ShadyHammock, se cree que es un predecesor de DustyHammock, dado que este último se observó en ataques en septiembre de 2024.
SingleCamper, la última versión de RomCom RAT, es responsable de una amplia gama de actividades posteriores al compromiso, que implican descargar la herramienta Plink de PuTTY para establecer túneles remotos con infraestructura controlada por el adversario, reconocimiento de red, movimiento lateral, descubrimiento de usuarios y sistemas, y Exfiltración de datos.
“Esta serie específica de ataques, dirigidos a entidades ucranianas de alto perfil, probablemente esté destinada a servir a la doble estrategia del UAT-5647 de manera gradual: establecer acceso a largo plazo y exfiltrar datos durante el mayor tiempo posible para respaldar motivos de espionaje, y luego potencialmente recurrir a la implementación de ransomware para interrumpir y probablemente beneficiarse financieramente del compromiso”, dijeron los investigadores.
“También es probable que entidades polacas también fueran atacadas, según las comprobaciones del idioma del teclado realizadas por el malware”.
La divulgación se produce cuando el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) advirtió sobre ataques cibernéticos organizados por un actor de amenazas llamado UAC-0050 para robar fondos e información confidencial utilizando varias familias de malware como Remcos RAT, SectopRAT, Xeno RAT, Lumma Stealer, Mars Stealer y Meduza Stealer.
“Las actividades de robo financiero de UAC-0050 implican principalmente el robo de fondos de las cuentas de empresas ucranianas y empresarios privados después de obtener acceso no autorizado a las computadoras de los contables a través de herramientas de control remoto, como Remcos y TEKTONITRMS”, CERT-UA dicho.
“Durante el período septiembre-octubre de 2024, UAC-0050 realizó al menos 30 intentos de este tipo. Estos ataques implican realizar pagos financieros falsos a través de sistemas bancarios remotos, con montos que varían desde decenas de miles hasta varios millones de UAH”.
CERT-UA también reveló que observó intentos de distribuir mensajes maliciosos a través de la cuenta @reserveplusbot en la aplicación de mensajes Telegram que tienen como objetivo implementar el malware Meduza Stealer con el pretexto de instalar un “software especial”.
“La cuenta @reserveplusbot se hace pasar por un bot de Telegram para imitar el soporte técnico de ‘Reserve+’, que es una aplicación que permite a los reclutas y reservistas actualizar sus datos de forma remota en lugar de ir a las oficinas de reclutamiento”, dijo la agencia. dicho. “Cabe señalar que dicha cuenta figuraba como uno de los contactos de soporte técnico de ‘Reserve+’ en mayo de 2024”.