Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Los ataques de RomCom rusos apuntan al gobierno ucraniano con la nueva variante SingleCamper RAT
  • Tecnología

Los ataques de RomCom rusos apuntan al gobierno ucraniano con la nueva variante SingleCamper RAT

teknomers 19 de Ekim de 2024 (Last updated: 19 de Ekim de 2024) 4 minutes read
Los ataques de RomCom rusos apuntan al gobierno ucraniano con


El actor de amenazas ruso conocido como RomCom ha sido vinculado a una nueva ola de ciberataques dirigidos a agencias gubernamentales ucranianas y entidades polacas desconocidas desde al menos finales de 2023.

Las intrusiones se caracterizan por el uso de una variante de RomCom RAT denominada SingleCamper (también conocido como SnipBot o RomCom 5.0), dijo Cisco Talos, que está monitoreando el grupo de actividad bajo el nombre de UAT-5647.

“Esta versión se carga directamente desde el registro en la memoria y utiliza una dirección loopback para comunicarse con su cargador”, afirman los investigadores de seguridad Dmytro Korzhevin, Asheer Malhotra, Vanja Svajcer y Vitor Ventura. anotado.

Ciberseguridad

RomCom, también identificado como Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 y Void Rabisu, ha participado en operaciones multimotivacionales como ransomware, extorsión y recopilación de credenciales selectivas desde su aparición en 2022.

Se ha evaluado que el ritmo operativo de sus ataques ha aumentado en los últimos meses con el objetivo de establecer una persistencia a largo plazo en las redes comprometidas y exfiltrar datos, lo que sugiere una clara agenda de espionaje.

Con ese fin, se dice que el actor de amenazas está “expandiendo agresivamente sus herramientas e infraestructura para admitir una amplia variedad de componentes de malware creados en diversos lenguajes y plataformas”, como C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG), y Lua (DROPCLUE).

Las cadenas de ataque comienzan con un mensaje de phishing que entrega un descargador, ya sea codificado en C++ (MeltingClaw) o Rust (RustyClaw), que sirve para implementar las puertas traseras ShadyHammock y DustyHammock, respectivamente. Paralelamente, se muestra al destinatario un documento señuelo para mantener la artimaña.

Si bien DustyHammock está diseñado para comunicarse con un servidor de comando y control (C2), ejecutar comandos arbitrarios y descargar archivos del servidor, ShadyHammock actúa como una plataforma de lanzamiento para SingleCamper además de escuchar los comandos entrantes.

A pesar de las características adicionales de ShadyHammock, se cree que es un predecesor de DustyHammock, dado que este último se observó en ataques en septiembre de 2024.

SingleCamper, la última versión de RomCom RAT, es responsable de una amplia gama de actividades posteriores al compromiso, que implican descargar la herramienta Plink de PuTTY para establecer túneles remotos con infraestructura controlada por el adversario, reconocimiento de red, movimiento lateral, descubrimiento de usuarios y sistemas, y Exfiltración de datos.

“Esta serie específica de ataques, dirigidos a entidades ucranianas de alto perfil, probablemente esté destinada a servir a la doble estrategia del UAT-5647 de manera gradual: establecer acceso a largo plazo y exfiltrar datos durante el mayor tiempo posible para respaldar motivos de espionaje, y luego potencialmente recurrir a la implementación de ransomware para interrumpir y probablemente beneficiarse financieramente del compromiso”, dijeron los investigadores.

“También es probable que entidades polacas también fueran atacadas, según las comprobaciones del idioma del teclado realizadas por el malware”.

La divulgación se produce cuando el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) advirtió sobre ataques cibernéticos organizados por un actor de amenazas llamado UAC-0050 para robar fondos e información confidencial utilizando varias familias de malware como Remcos RAT, SectopRAT, Xeno RAT, Lumma Stealer, Mars Stealer y Meduza Stealer.

Ciberseguridad

“Las actividades de robo financiero de UAC-0050 implican principalmente el robo de fondos de las cuentas de empresas ucranianas y empresarios privados después de obtener acceso no autorizado a las computadoras de los contables a través de herramientas de control remoto, como Remcos y TEKTONITRMS”, CERT-UA dicho.

“Durante el período septiembre-octubre de 2024, UAC-0050 realizó al menos 30 intentos de este tipo. Estos ataques implican realizar pagos financieros falsos a través de sistemas bancarios remotos, con montos que varían desde decenas de miles hasta varios millones de UAH”.

CERT-UA también reveló que observó intentos de distribuir mensajes maliciosos a través de la cuenta @reserveplusbot en la aplicación de mensajes Telegram que tienen como objetivo implementar el malware Meduza Stealer con el pretexto de instalar un “software especial”.

“La cuenta @reserveplusbot se hace pasar por un bot de Telegram para imitar el soporte técnico de ‘Reserve+’, que es una aplicación que permite a los reclutas y reservistas actualizar sus datos de forma remota en lugar de ir a las oficinas de reclutamiento”, dijo la agencia. dicho. “Cabe señalar que dicha cuenta figuraba como uno de los contactos de soporte técnico de ‘Reserve+’ en mayo de 2024”.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: ¡NADIE esperaba esto! – Momento curioso en el Hoffenheim PK
Next: Mundial de pista, Milán se lleva todo: oro y récord mundial en la persecución

Related Stories

Cerca de 300 nuevos falsos repositorios en GitHub difunden software
  • Tecnología

Cerca de 300 nuevos falsos repositorios en GitHub difunden software malicioso

teknomers 15 de Temmuz de 2026
Inquietud por esta funcionalidad de Chrome, utilizada para espiar a
  • Tecnología

Inquietud por esta funcionalidad de Chrome, utilizada para espiar a personas cercanas a distancia

teknomers 15 de Temmuz de 2026
Mientras el mercado de los smartphones se hunde, Apple logra
  • Tecnología

Mientras el mercado de los smartphones se hunde, Apple logra el mejor segundo trimestre de su historia.

teknomers 15 de Temmuz de 2026

You May Have Missed

Cerca de 300 nuevos falsos repositorios en GitHub difunden software
  • Tecnología

Cerca de 300 nuevos falsos repositorios en GitHub difunden software malicioso

teknomers 15 de Temmuz de 2026
La Mammobile continúa con el despistaje en agosto
  • salud

La Mammobile continúa con el despistaje en agosto

teknomers 15 de Temmuz de 2026
  • General

Cuba: tras tres cortes totales en menos de diez días, la electricidad comienza a regresar

teknomers 15 de Temmuz de 2026
Tras la derrota de Francia frente a España, la prensa
  • Entretenimiento

Tras la derrota de Francia frente a España, la prensa no es benévola con los Bleus

teknomers 15 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.