L’acteur menaçant russe connu sous le nom de RomCom est lié à une nouvelle vague de cyberattaques visant des agences gouvernementales ukrainiennes et des entités polonaises inconnues depuis au moins fin 2023.
Les intrusions sont caractérisées par l’utilisation d’une variante du RomCom RAT baptisée SingleCamper (alias SnipBot ou RomCom 5.0), a déclaré Cisco Talos, qui surveille le cluster d’activité sous le nom d’UAT-5647.
« Cette version est chargée directement du registre en mémoire et utilise une adresse de bouclage pour communiquer avec son chargeur », chercheurs en sécurité Dmytro Korzhevin, Asheer Malhotra, Vanja Svajcer et Vitor Ventura. noté.
RomCom, également suivi sous les noms de Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 et Void Rabisu, s’est engagé dans des opérations multi-motivations telles que les ransomwares, l’extorsion et la collecte ciblée d’informations d’identification depuis son émergence en 2022.
Il a été estimé que le rythme opérationnel de leurs attaques s’est accéléré ces derniers mois dans le but d’établir une persistance à long terme sur les réseaux compromis et d’exfiltrer des données, suggérant un programme clair d’espionnage.
À cette fin, l’auteur de la menace « étendrait de manière agressive ses outils et son infrastructure pour prendre en charge une grande variété de composants malveillants créés dans divers langages et plates-formes » tels que C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG), et Lua (DROPCLUE).
Les chaînes d’attaque commencent par un message de spear phishing qui délivre un téléchargeur – codé en C++ (MeltingClaw) ou en Rust (RustyClaw) – qui sert respectivement à déployer les portes dérobées ShadyHammock et DustyHammock. En parallèle, un document leurre est affiché au destinataire pour entretenir la ruse.
Alors que DustyHammock est conçu pour contacter un serveur de commande et de contrôle (C2), exécuter des commandes arbitraires et télécharger des fichiers à partir du serveur, ShadyHammock agit comme une rampe de lancement pour SingleCamper et écoute les commandes entrantes.
Malgré les fonctionnalités supplémentaires de ShadyHammock, on pense qu’il s’agit d’un prédécesseur de DustyHammock, étant donné que ce dernier a été observé lors d’attaques aussi récemment qu’en septembre 2024.
SingleCamper, la dernière version de RomCom RAT, est responsable d’un large éventail d’activités post-compromise, qui impliquent le téléchargement de l’outil Plink de PuTTY pour établir des tunnels distants avec une infrastructure contrôlée par l’adversaire, la reconnaissance du réseau, le mouvement latéral, la découverte des utilisateurs et du système, et exfiltration de données.
« Cette série spécifique d’attaques, ciblant des entités ukrainiennes de premier plan, est probablement destinée à servir la stratégie à deux volets de l’UAT-5647 de manière par étapes : établir un accès à long terme et exfiltrer les données aussi longtemps que possible pour soutenir des motifs d’espionnage, puis potentiellement pivoter vers le déploiement de ransomwares pour perturber et probablement tirer un profit financier de la compromission », ont déclaré les chercheurs.
« Il est également probable que des entités polonaises aient également été ciblées, sur la base des vérifications de langue du clavier effectuées par le logiciel malveillant. »