SingleCamper RAT

Der als RomCom bekannte russische Bedrohungsakteur wird seit mindestens Ende 2023 mit einer neuen Welle von Cyberangriffen in Verbindung gebracht, die sich gegen ukrainische Regierungsbehörden und unbekannte polnische Einrichtungen richten.

Die Eindringversuche sind durch die Verwendung einer Variante des RomCom RAT gekennzeichnet, die SingleCamper (auch bekannt als SnipBot oder RomCom 5.0) genannt wird. Infosec-Forscher überwachen den Aktivitätscluster unter dem Namen UAT-5647. Diese Version wird direkt aus der Registrierung in den Speicher geladen und verwendet eine Loopback-Adresse, um mit ihrem Loader zu kommunizieren.

Dieser Bedrohungsakteur hat zahlreiche Angriffskampagnen gestartet

RomCom, auch bekannt unter Pseudonymen wie Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 und Void Rabisu, war seit seinem Auftauchen im Jahr 2022 an verschiedenen Cyberoperationen beteiligt. Zu diesen Operationen gehören Ransomware-Angriffe, Erpressungsversuche und die gezielte Sammlung von Anmeldeinformationen.

Aktuelle Einschätzungen deuten darauf hin, dass die Häufigkeit ihrer Angriffe deutlich zunimmt. Der Schwerpunkt liegt dabei auf der Erlangung eines langfristigen Zugriffs auf kompromittierte Netzwerke und dem Erpressen wertvoller Daten, was auf eine Spionageabsicht schließen lässt.

Um dies zu unterstützen, erweitert RomCom Berichten zufolge sein Toolkit und seine Infrastruktur und integriert eine breite Palette von Malware-Komponenten, die mit mehreren Programmiersprachen und Plattformen erstellt wurden, darunter C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) und Lua (DROPCLUE).

Spear-Phishing-Taktiken zur Kompromittierung der Ziele

Die Angriffssequenzen beginnen mit einer Spear-Phishing-E-Mail, die einen Downloader liefert, der entweder in C++ (MeltingClaw) oder Rust (RustyClaw) geschrieben sein kann. Dieser Downloader ist für die Bereitstellung der ShadyHammock- und DustyHammock-Hintertüren verantwortlich, während dem Empfänger ein Lockvogeldokument angezeigt wird, um die Täuschung aufrechtzuerhalten.

DustyHammock ist dafür ausgelegt, mit einem Command-and-Control-Server (C2) zu kommunizieren, beliebige Befehle auszuführen und Dateien von diesem herunterzuladen. Im Gegensatz dazu fungiert ShadyHammock als Plattform zum Starten von SingleCamper und Überwachen eingehender Befehle.

Trotz der zusätzlichen Fähigkeiten von ShadyHammock gilt es als Vorgänger von DustyHammock, da letzteres erst im September 2024 bei Angriffen entdeckt wurde.

Der SingleCamper RAT ist die neueste Version

SingleCamper, die neueste Version des RomCom RAT, ist für verschiedene Aktivitäten nach einem Angriff konzipiert. Zu diesen Aktivitäten gehören das Herunterladen des Plink-Tools von PuTTY, um Remote-Tunnel mit gegnerisch kontrollierter Infrastruktur zu erstellen, die Durchführung von Netzwerkaufklärung, die Ermöglichung lateraler Bewegungen, das Entdecken von Benutzern und Systemen und das Exfiltrieren von Daten.

Diese spezielle Angriffsserie, die sich gegen hochrangige ukrainische Unternehmen richtete, scheint mit der zweigleisigen Strategie von UAT-5647 übereinzustimmen: sich langfristigen Zugriff zu verschaffen und über längere Zeiträume Daten zu extrahieren, um Spionageziele zu verfolgen und möglicherweise auf den Einsatz von Ransomware umzusteigen, um den Betrieb zu stören und aus dem Angriff finanziellen Nutzen zu ziehen.

Darüber hinaus ist es wahrscheinlich, dass auch polnische Einrichtungen das Ziel der Angriffe waren, wie die von der Schadsoftware durchgeführten Tastatursprachenprüfungen zeigen.

Die Ukraine bleibt das Ziel hochentwickelter Malware-Angriffe

Die Ankündigung folgt einer Warnung des Computer Emergency Response Team der Ukraine (CERT-UA) vor Cyberangriffen durch einen Bedrohungsakteur namens UAC-0050, der es auf vertrauliche Informationen und Gelder abgesehen hat. Dafür verwendet er verschiedene Malware-Familien, darunter Remcos RAT , SectopRAT, Xeno RAT, Lumma Stealer, Mars Stealer und Meduza Stealer .

Der Schwerpunkt der Finanzdiebstahlsoperationen von UAC-0050 liegt auf dem Diebstahl von Geldern ukrainischer Unternehmen und Privatunternehmer. Dies wird erreicht, indem man sich über Fernsteuerungstools wie Remcos und TEKTONITRMS unbefugten Zugriff auf die Computer von Buchhaltern verschafft.

Zwischen September und Oktober 2024 führte UAC-0050 mindestens 30 solcher Angriffe aus, bei denen über Remote-Banking-Systeme gefälschte Finanztransaktionen mit Beträgen zwischen Zehntausenden und mehreren Millionen UAH erstellt wurden.

Darüber hinaus hat CERT-UA Versuche beobachtet, über das Konto @reserveplusbot auf der Messaging-Plattform Telegram betrügerische Nachrichten zu verbreiten. Ziel dieser Versuche ist die Bereitstellung der Schadsoftware „Meduza Stealer“ unter dem Vorwand, eine spezielle Software zu installieren.