RomCom olarak bilinen Rus tehdit aktörünün, en azından 2023’ün sonlarından bu yana Ukrayna devlet kurumlarını ve bilinmeyen Polonya kuruluşlarını hedef alan yeni bir siber saldırı dalgasıyla bağlantısı bulunuyor.
Cisco Talos, izinsiz girişlerin, UAT-5647 adı altında faaliyet kümesini izleyen RomCom RAT’ın SingleCamper (diğer adıyla SnipBot veya RomCom 5.0) adlı bir çeşidinin kullanılmasıyla karakterize edildiğini söyledi.
Güvenlik araştırmacıları Dmytro Korzhevin, Asheer Malhotra, Vanja Svajcer ve Vitor Ventura, “Bu sürüm doğrudan kayıt defterinden belleğe yükleniyor ve yükleyiciyle iletişim kurmak için bir geridöngü adresi kullanıyor” dedi.
Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 ve Void Rabisu olarak da takip edilen RomCom, 2022’de ortaya çıkışından bu yana fidye yazılımı, gasp ve hedefli kimlik bilgisi toplama gibi çok amaçlı operasyonlara katıldı.
Saldırılarının operasyonel temposunun, ele geçirilen ağlarda uzun vadeli kalıcılık sağlamak ve veri sızdırmak amacıyla son aylarda arttığı, bunun da açık bir casusluk gündemine işaret ettiği değerlendiriliyor.
Bu amaçla, tehdit aktörünün C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG), ve Lua (DROPCLUE).
Saldırı zincirleri, sırasıyla ShadyHammock ve DustyHammock arka kapılarını dağıtmaya hizmet eden C++ (MeltingClaw) veya Rust (RustyClaw) ile kodlanmış bir indirici sunan bir hedef odaklı kimlik avı mesajıyla başlıyor. Buna paralel olarak, hileyi sürdürmek için alıcıya sahte bir belge gösterilir.
DustyHammock bir komuta ve kontrol (C2) sunucusuyla iletişim kurmak, isteğe bağlı komutları çalıştırmak ve sunucudan dosya indirmek üzere tasarlanmış olsa da, ShadyHammock, SingleCamper için bir başlatma paneli görevi görmenin yanı sıra gelen komutları dinlemek için de çalışır.
ShadyHammock’un ek özelliklerine rağmen, DustyHammock’un Eylül 2024 gibi yakın bir tarihteki saldırılarda gözlemlendiği gerçeği göz önüne alındığında, bunun DustyHammock’un öncülü olduğuna inanılıyor.
RomCom RAT’ın en son sürümü olan SingleCamper, düşman kontrollü altyapı, ağ keşfi, yanal hareket, kullanıcı ve sistem keşfi ile uzak tüneller kurmak için PuTTY’nin Plink aracının indirilmesini içeren çok çeşitli uzlaşma sonrası faaliyetlerden sorumludur. veri sızması.
“Ukrayna’daki yüksek profilli varlıkları hedef alan bu spesifik saldırı dizisi, muhtemelen UAT-5647’nin aşamalı bir şekilde iki yönlü stratejisine hizmet etmeyi amaçlıyor: uzun vadeli erişim sağlamak ve casusluk amaçlarını desteklemek için mümkün olduğu kadar uzun süre veri sızdırmak ve ardından Araştırmacılar, potansiyel olarak bu uzlaşmayı bozmak ve muhtemelen finansal olarak kazanç elde etmek için fidye yazılımı dağıtımına yönelme potansiyeline sahip olduklarını söyledi.
“Kötü amaçlı yazılım tarafından gerçekleştirilen klavye dili kontrollerine göre Polonyalı kuruluşların da hedef alınması muhtemeldir.”