RAT de una sola caravana

El actor de amenazas ruso conocido como RomCom ha estado vinculado a una nueva ola de ataques cibernéticos dirigidos a agencias gubernamentales ucranianas y entidades polacas desconocidas desde al menos finales de 2023.

Las intrusiones se caracterizan por el uso de una variante del RAT RomCom denominada SingleCamper (también conocida como SnipBot o RomCom 5.0). Los investigadores de Infosec están monitoreando el grupo de actividad bajo el nombre UAT-5647. Esta versión se carga directamente desde el registro a la memoria y utiliza una dirección de bucle invertido para comunicarse con su cargador.

Este actor de amenazas ha lanzado numerosas campañas de ataque

RomCom, también conocido por alias como Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 y Void Rabisu, ha estado involucrado en varias operaciones cibernéticas desde su aparición en 2022. Estas operaciones incluyen ataques de ransomware, esquemas de extorsión y recopilación selectiva de credenciales.

Evaluaciones recientes indican un aumento notable en la frecuencia de sus ataques, con el objetivo de establecer acceso a largo plazo a redes comprometidas y extraer datos valiosos, lo que apunta a una agenda impulsada por el espionaje.

Para respaldar esto, se informa que RomCom está ampliando su conjunto de herramientas e infraestructura, incorporando una amplia gama de componentes de malware creados utilizando múltiples lenguajes de programación y plataformas, incluidos C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) y Lua (DROPCLUE).

Tácticas de phishing para comprometer a los objetivos

Las secuencias de ataque comienzan con un correo electrónico de phishing que envía un programa de descarga, que puede estar escrito en C++ (MeltingClaw) o Rust (RustyClaw). Este programa de descarga es responsable de implementar las puertas traseras ShadyHammock y DustyHammock, mientras que se muestra un documento señuelo al destinatario para mantener el engaño.

DustyHammock está diseñado para comunicarse con un servidor de Comando y Control (C2), ejecutar comandos arbitrarios y descargar archivos desde él. Por el contrario, ShadyHammock funciona como una plataforma para iniciar SingleCamper y monitorear los comandos entrantes.

A pesar de las capacidades adicionales de ShadyHammock, se considera un predecesor de DustyHammock, ya que este último se ha detectado en ataques tan recientes como septiembre de 2024.

El SingleCamper RAT es la última versión

SingleCamper, la última versión del RAT RomCom, está diseñado para diversas actividades posteriores a la vulneración. Estas actividades incluyen la descarga de la herramienta Plink de PuTTY para crear túneles remotos con infraestructura controlada por el adversario, realizar reconocimiento de red, facilitar el movimiento lateral, descubrir usuarios y sistemas y exfiltrar datos.

Esta serie particular de ataques, dirigida a entidades ucranianas de alto perfil, parece alinearse con la doble estrategia de UAT-5647: establecer acceso a largo plazo y extraer datos durante períodos prolongados para apoyar los objetivos de espionaje y potencialmente pivotar hacia la implementación de ransomware para interrumpir las operaciones y obtener ganancias económicas del compromiso.

Además, es probable que las entidades polacas también fueran el objetivo, como lo indican las comprobaciones del idioma del teclado realizadas por el malware.

Ucrania sigue siendo el blanco de sofisticados ataques de malware

El anuncio sigue a una advertencia del Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) sobre ciberataques llevados a cabo por un actor de amenazas conocido como UAC-0050, que apunta a información confidencial y fondos utilizando varias familias de malware, incluido Remcos RAT , SectopRAT, Xeno RAT, Lumma Stealer, Mars Stealer y Meduza Stealer .

Las operaciones de robo financiero de UAC-0050 se centran en robar fondos de empresas y empresarios privados ucranianos. Esto se logra obteniendo acceso no autorizado a las computadoras de los contadores mediante herramientas de control remoto como Remcos y TEKTONITRMS.

Entre septiembre y octubre de 2024, UAC-0050 ejecutó al menos 30 ataques de este tipo, que implicaron la creación de transacciones financieras falsas a través de sistemas bancarios remotos, con montos que iban desde decenas de miles hasta varios millones de UAH.

Además, CERT-UA informó haber observado intentos de difundir mensajes fraudulentos a través de la cuenta @reserveplusbot en la plataforma de mensajería Telegram, con el objetivo de implementar el malware Meduza Stealer bajo la apariencia de instalar un software especial.