O ator de ameaça russo conhecido como RomCom foi ligado a uma nova onda de ataques cibernéticos direcionados a agências governamentais ucranianas e entidades polonesas desconhecidas desde pelo menos o final de 2023.
As intrusões são caracterizadas pelo uso de uma variante do RomCom RAT apelidada de SingleCamper (conhecida também como SnipBot ou RomCom 5.0), de acordo com a Cisco Talos, que está monitorando o agrupamento de atividades sob o codinome UAT-5647.
"Esta versão é carregada diretamente do registro para a memória e usa um endereço de loopback para se comunicar com seu carregador", observaram os pesquisadores de segurança Dmytro Korzhevin, Asheer Malhotra, Vanja Svajcer e Vitor Ventura.
O RomCom, também monitorado como Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 e Void Rabisu, tem realizado operações com múltiplas motivações como ransomware, extorsão e coleta de credenciais direcionadas desde seu surgimento em 2022.
Foi avaliado que o ritmo operacional de seus ataques aumentou nos últimos meses com o objetivo de estabelecer persistência de longo prazo em redes comprometidas e exfiltrar dados, sugerindo uma clara agenda de espionagem.
Para esse fim, diz-se que o ator de ameaça está "expandindo agressivamente suas ferramentas e infraestrutura para suportar uma ampla variedade de componentes de malware escritos em idiomas e plataformas diversas" como C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) e Lua (DROPCLUE).
As cadeias de ataque começam com uma mensagem de spear-phishing que entrega um downloader -- codificado em C++ (MeltingClaw) ou Rust (RustyClaw) -- o qual serve para implantar os backdoors ShadyHammock e DustyHammock, respectivamente.
Paralelamente, um documento isca é exibido ao destinatário para manter o ardil.
Enquanto o DustyHammock é projetado para contactar um servidor de comando e controle (C2), executar comandos arbitrários e baixar arquivos do servidor, o ShadyHammock atua como uma plataforma de lançamento para o SingleCamper, bem como escuta comandos entrantes.
Apesar das funcionalidades adicionais do ShadyHammock, acredita-se que seja um predecessor do DustyHammock, dado o fato de que este último foi observado em ataques tão recentemente quanto setembro de 2024.
SingleCamper, a versão mais recente do RomCom RAT, é responsável por uma ampla gama de atividades pós-compromisso, que incluem o download da ferramenta Plink do PuTTY para estabelecer túneis remotos com infraestrutura controlada pelo adversário, reconhecimento de rede, movimento lateral, descoberta de usuários e sistema, e exfiltração de dados.
"Essa série específica de ataques, visando entidades ucranianas de alto perfil, provavelmente visa servir à estratégia dupla da UAT-5647 de maneira escalonada - estabelecer acesso de longo prazo e exfiltrar dados pelo máximo de tempo possível para suportar motivos de espionagem, e então potencialmente pivotar para implantação de ransomware para interromper e provavelmente obter ganhos financeiros a partir do comprometimento," disseram os pesquisadores.
É provável também que entidades polonesas tenham sido visadas, baseado nas verificações de idioma do teclado realizadas pelo malware.
A divulgação vem à medida que o Time de Resposta a Emergências de Computador da Ucrânia (CERT-UA) alertou sobre ataques cibernéticos montados por um ator de ameaça chamado UAC-0050 para roubar fundos bem como informações sensíveis usando várias famílias de malware como Remcos RAT, SectopRAT, Xeno RAT, Lumma Stealer, Mars Stealer e Meduza Stealer.
"As atividades de roubo financeiro do UAC-0050 envolvem principalmente o roubo de fundos das contas de empresas ucranianas e empreendedores privados após obter acesso não autorizado aos computadores de contadores através de ferramentas de controle remoto, como Remcos e TEKTONITRMS," disse o CERT-UA.
Durante o período de setembro a outubro de 2024, o UAC-0050 fez pelo menos 30 dessas tentativas.
Esses ataques envolvem a formação de pagamentos financeiros falsos através de sistemas bancários remotos, com quantias variando de dezenas de milhares a vários milhões de UAH.
O CERT-UA também revelou que observou tentativas de distribuir mensagens maliciosas via conta @reserveplusbot no aplicativo de mensagens Telegram que visam implantar o malware Meduza Stealer sob o pretexto de instalar um "software especial".
"A conta @reserveplusbot está se passando por um bot do Telegram para imitar o suporte técnico do 'Reserve+', que é um aplicativo que permite a conscritos e reservistas atualizarem seus dados remotamente em vez de ir aos escritórios de recrutamento," a agência disse.
Deve-se notar que tal conta foi de fato listada como um dos contatos de suporte técnico do 'Reserve+' em maio de 2024.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...