O ator de ameaça russo conhecido como RomCom tem sido associado a uma nova onda de ataques cibernéticos dirigidos a agências governamentais ucranianas e entidades polacas desconhecidas desde pelo menos o closing de 2023.
As invasões são caracterizadas pelo uso de uma variante do RomCom RAT chamada SingleCamper (também conhecida como SnipBot ou RomCom 5.0), disse Cisco Talos, que monitora o cluster de atividades sob o apelido de UAT-5647.
“Esta versão é carregada diretamente do registro na memória e usa um endereço de loopback para se comunicar com seu carregador”, observaram os pesquisadores de segurança Dmytro Korzhevin, Asheer Malhotra, Vanja Svajcer e Vitor Ventura.
RomCom, também rastreado como Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 e Void Rabisu, se envolveu em operações multimotivacionais, como ransomware, extorsão e coleta direcionada de credenciais desde seu surgimento em 2022.
Foi avaliado que o ritmo operacional dos seus ataques aumentou nos últimos meses com o objectivo de estabelecer persistência a longo prazo em redes comprometidas e exfiltrar dados, sugerindo uma agenda clara de espionagem.
Para esse fim, diz-se que o ator da ameaça está “expandindo agressivamente suas ferramentas e infraestrutura para suportar uma ampla variedade de componentes de malware criados em diversas linguagens e plataformas”, como C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG), e Lua (DROPCLUE).
As cadeias de ataque começam com uma mensagem de spear-phishing que entrega um downloader – codificado em C++ (MeltingClaw) ou Rust (RustyClaw) – que serve para implantar os backdoors ShadyHammock e DustyHammock, respectivamente. Paralelamente, um documento chamariz é exibido ao destinatário para manter o estratagema.
Embora o DustyHammock seja projetado para entrar em contato com um servidor de comando e controle (C2), executar comandos arbitrários e baixar arquivos do servidor, o ShadyHammock atua como uma plataforma de lançamento para o SingleCamper, bem como escuta os comandos recebidos.
Apesar dos recursos adicionais do ShadyHammock, acredita-se que seja um antecessor do DustyHammock, dado o fato de que este último foi observado em ataques recentemente, em setembro de 2024.
SingleCamper, a versão mais recente do RomCom RAT, é responsável por uma ampla gama de atividades pós-comprometimento, que envolvem o obtain da ferramenta Plink do PuTTY para estabelecer túneis remotos com infraestrutura controlada pelo adversário, reconhecimento de rede, movimento lateral, descoberta de usuários e sistemas, e exfiltração de dados.
“Esta série específica de ataques, visando entidades ucranianas de alto perfil, destina-se provavelmente a servir a estratégia dupla do UAT-5647 de uma forma faseada – estabelecer acesso a longo prazo e exfiltrar dados durante o maior tempo possível para apoiar motivos de espionagem, e depois potencialmente direcionar para a implantação de ransomware para interromper e provavelmente obter ganhos financeiros com o comprometimento”, disseram os pesquisadores.
“Também é provável que entidades polonesas também tenham sido visadas, com base nas verificações de idioma do teclado realizadas pelo malware”.
