Camping-car simple RAT

L'acteur de menace russe connu sous le nom de RomCom est lié à une nouvelle vague de cyberattaques visant des agences gouvernementales ukrainiennes et des entités polonaises inconnues depuis au moins fin 2023.

Les intrusions sont caractérisées par l'utilisation d'une variante du RAT RomCom baptisée SingleCamper (alias SnipBot ou RomCom 5.0). Les chercheurs en sécurité informatique surveillent le cluster d'activité sous le nom UAT-5647. Cette version est chargée directement du registre vers la mémoire et utilise une adresse de bouclage pour communiquer avec son chargeur.

Cet acteur de menace a lancé de nombreuses campagnes d'attaque

RomCom, également connu sous des pseudonymes tels que Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 et Void Rabisu, a été impliqué dans diverses cyberopérations depuis son émergence en 2022. Ces opérations comprennent des attaques de ransomware, des stratagèmes d'extorsion et la collecte ciblée d'informations d'identification.

Des évaluations récentes indiquent une augmentation notable de la fréquence de leurs attaques, l’accent étant mis sur l’établissement d’un accès à long terme aux réseaux compromis et l’extraction de données précieuses, ce qui laisse penser à un programme d’espionnage.

Pour soutenir cette initiative, RomCom élargirait sa boîte à outils et son infrastructure, en intégrant une large gamme de composants malveillants créés à l'aide de plusieurs langages et plateformes de programmation, notamment C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) et Lua (DROPCLUE).

Tactiques d'hameçonnage ciblé pour compromettre les cibles

Les séquences d'attaque commencent par un e-mail de spear-phishing qui fournit un téléchargeur, qui peut être écrit en C++ (MeltingClaw) ou en Rust (RustyClaw). Ce téléchargeur est responsable du déploiement des portes dérobées ShadyHammock et DustyHammock, tandis qu'un document leurre est affiché au destinataire pour maintenir la tromperie.

DustyHammock est conçu pour communiquer avec un serveur de commande et de contrôle (C2), exécuter des commandes arbitraires et télécharger des fichiers à partir de celui-ci. En revanche, ShadyHammock fonctionne comme une plate-forme pour lancer SingleCamper et surveiller les commandes entrantes.

Malgré les capacités supplémentaires de ShadyHammock, il est considéré comme un prédécesseur de DustyHammock, car ce dernier a été détecté dans des attaques aussi récemment qu'en septembre 2024.

Le SingleCamper RAT est la dernière itération

SingleCamper, la dernière version du RAT RomCom, est conçue pour diverses activités post-compromission. Ces activités incluent le téléchargement de l'outil Plink depuis PuTTY pour créer des tunnels distants avec une infrastructure contrôlée par l'adversaire, effectuer une reconnaissance du réseau, faciliter les mouvements latéraux, découvrir les utilisateurs et les systèmes et exfiltrer les données.

Cette série particulière d'attaques, visant des entités ukrainiennes de premier plan, semble s'aligner sur la double stratégie d'UAT-5647 : établir un accès à long terme et extraire des données pendant des périodes prolongées pour soutenir les objectifs d'espionnage et potentiellement pivoter vers le déploiement de ransomwares pour perturber les opérations et tirer un profit financier de la compromission.

En outre, il est probable que des entités polonaises aient également été ciblées, comme l’indiquent les vérifications de la langue du clavier effectuées par le logiciel malveillant.

L'Ukraine reste la cible d'attaques de logiciels malveillants sophistiqués

Cette annonce fait suite à un avertissement de l'équipe d'intervention d'urgence informatique d'Ukraine (CERT-UA) concernant les cyberattaques menées par un acteur malveillant connu sous le nom d'UAC-0050, qui cible des informations et des fonds sensibles à l'aide de diverses familles de logiciels malveillants, notamment le Remcos RAT , le SectopRAT, le Xeno RAT, le Lumma Stealer, le Mars Stealer et le Meduza Stealer .

Les opérations de vol financier de l'UAC-0050 visent à voler des fonds aux entreprises et aux entrepreneurs privés ukrainiens. Pour ce faire, l'organisation obtient un accès non autorisé aux ordinateurs des comptables à l'aide d'outils de contrôle à distance tels que Remcos et TEKTONITRMS.

Entre septembre et octobre 2024, l'UAC-0050 a exécuté au moins 30 attaques de ce type, qui impliquaient la création de fausses transactions financières via des systèmes bancaires à distance, avec des montants allant de dizaines de milliers à plusieurs millions d'UAH.

De plus, le CERT-UA a signalé avoir observé des tentatives de diffusion de messages frauduleux via le compte @reserveplusbot sur la plateforme de messagerie Telegram, visant à déployer le malware Meduza Stealer sous couvert d'installation d'un logiciel spécial.