El actor de amenazas ruso conocido como RomCom ha sido vinculado a una nueva ola de ciberataques dirigidos a agencias gubernamentales ucranianas y entidades polacas desconocidas desde al menos finales de 2023.<\/p>\n
Las intrusiones se caracterizan por el uso de una variante de RomCom RAT denominada SingleCamper (tambi\u00e9n conocido como SnipBot o RomCom 5.0), dijo Cisco Talos, que est\u00e1 monitoreando el grupo de actividad bajo el nombre de UAT-5647.<\/p>\n
“Esta versi\u00f3n se carga directamente desde el registro en la memoria y utiliza una direcci\u00f3n loopback para comunicarse con su cargador”, afirman los investigadores de seguridad Dmytro Korzhevin, Asheer Malhotra, Vanja Svajcer y Vitor Ventura. anotado<\/a>.<\/p>\n RomCom, tambi\u00e9n identificado como Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 y Void Rabisu, ha participado en operaciones multimotivacionales como ransomware, extorsi\u00f3n y recopilaci\u00f3n de credenciales selectivas desde su aparici\u00f3n en 2022.<\/p>\n Se ha evaluado que el ritmo operativo de sus ataques ha aumentado en los \u00faltimos meses con el objetivo de establecer una persistencia a largo plazo en las redes comprometidas y exfiltrar datos, lo que sugiere una clara agenda de espionaje.<\/p>\n Con ese fin, se dice que el actor de amenazas est\u00e1 “expandiendo agresivamente sus herramientas e infraestructura para admitir una amplia variedad de componentes de malware creados en diversos lenguajes y plataformas”, como C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG), y Lua (DROPCLUE).<\/p>\n Las cadenas de ataque comienzan con un mensaje de phishing que entrega un descargador, ya sea codificado en C++ (MeltingClaw) o Rust (RustyClaw), que sirve para implementar las puertas traseras ShadyHammock y DustyHammock, respectivamente. Paralelamente, se muestra al destinatario un documento se\u00f1uelo para mantener la artima\u00f1a.<\/p>\n Si bien DustyHammock est\u00e1 dise\u00f1ado para comunicarse con un servidor de comando y control (C2), ejecutar comandos arbitrarios y descargar archivos del servidor, ShadyHammock act\u00faa como una plataforma de lanzamiento para SingleCamper adem\u00e1s de escuchar los comandos entrantes.<\/p>\n A pesar de las caracter\u00edsticas adicionales de ShadyHammock, se cree que es un predecesor de DustyHammock, dado que este \u00faltimo se observ\u00f3 en ataques en septiembre de 2024.<\/p>\n SingleCamper, la \u00faltima versi\u00f3n de RomCom RAT, es responsable de una amplia gama de actividades posteriores al compromiso, que implican descargar la herramienta Plink de PuTTY para establecer t\u00faneles remotos con infraestructura controlada por el adversario, reconocimiento de red, movimiento lateral, descubrimiento de usuarios y sistemas, y Exfiltraci\u00f3n de datos.<\/p>\n “Esta serie espec\u00edfica de ataques, dirigidos a entidades ucranianas de alto perfil, probablemente est\u00e9 destinada a servir a la doble estrategia del UAT-5647 de manera gradual: establecer acceso a largo plazo y exfiltrar datos durante el mayor tiempo posible para respaldar motivos de espionaje, y luego potencialmente recurrir a la implementaci\u00f3n de ransomware para interrumpir y probablemente beneficiarse financieramente del compromiso”, dijeron los investigadores.<\/p>\n “Tambi\u00e9n es probable que entidades polacas tambi\u00e9n fueran atacadas, seg\u00fan las comprobaciones del idioma del teclado realizadas por el malware”.<\/p>\n La divulgaci\u00f3n se produce cuando el Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA) advirti\u00f3 sobre ataques cibern\u00e9ticos organizados por un actor de amenazas llamado UAC-0050 para robar fondos e informaci\u00f3n confidencial utilizando varias familias de malware como Remcos RAT, SectopRAT, Xeno RAT, Lumma Stealer, Mars Stealer y Meduza Stealer.<\/p>\n “Las actividades de robo financiero de UAC-0050 implican principalmente el robo de fondos de las cuentas de empresas ucranianas y empresarios privados despu\u00e9s de obtener acceso no autorizado a las computadoras de los contables a trav\u00e9s de herramientas de control remoto, como Remcos y TEKTONITRMS”, CERT-UA dicho<\/a>.<\/p>\n “Durante el per\u00edodo septiembre-octubre de 2024, UAC-0050 realiz\u00f3 al menos 30 intentos de este tipo. Estos ataques implican realizar pagos financieros falsos a trav\u00e9s de sistemas bancarios remotos, con montos que var\u00edan desde decenas de miles hasta varios millones de UAH”.<\/p>\n CERT-UA tambi\u00e9n revel\u00f3 que observ\u00f3 intentos de distribuir mensajes maliciosos a trav\u00e9s de la cuenta @reserveplusbot en la aplicaci\u00f3n de mensajes Telegram que tienen como objetivo implementar el malware Meduza Stealer con el pretexto de instalar un “software especial”.<\/p>\n “La cuenta @reserveplusbot se hace pasar por un bot de Telegram para imitar el soporte t\u00e9cnico de ‘Reserve+’, que es una aplicaci\u00f3n que permite a los reclutas y reservistas actualizar sus datos de forma remota en lugar de ir a las oficinas de reclutamiento”, dijo la agencia. dicho<\/a>. “Cabe se\u00f1alar que dicha cuenta figuraba como uno de los contactos de soporte t\u00e9cnico de ‘Reserve+’ en mayo de 2024”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/Los-ataques-de-RomCom-rusos-apuntan-al-gobierno-ucraniano-con.png\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n