O ator russo conhecido como RomCom tem sido associado a uma nova onda de ataques cibernéticos contra agências governamentais ucranianas e organizações polacas desconhecidas desde pelo menos o final de 2023.
A intervenção é vista através do uso de uma variante do RomCom RAT chamada SingleCamper (também conhecido como SnipBot ou RomCom 5.0), disse Cisco Talos, que monitora o grupo de trabalho sob o apelido UAT-5647.
“Esta versão carrega diretamente do registro para a memória e usa um endereço de loopback para se comunicar com seu carregador”, observaram os pesquisadores de segurança Dmytro Korzhevin, Asheer Malhotra, Vanja Svajcer e Vitor Ventura.
RomCom, que também é rastreado como Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 e Void Rabisu, esteve envolvido em atividades como ransomware, fraude e coleta direcionada de dados desde seu surgimento em 2022.
Foi avaliado que o nível de actividade dos seus ataques aumentou nos últimos meses com o objectivo de estabelecer persistência a longo prazo em redes comprometidas e extrair dados, sugerindo uma agenda clara de espionagem.
Para esse fim, o ator da ameaça está “expandindo suas ferramentas e infraestrutura para suportar uma variedade de componentes de malware escritos em várias linguagens e plataformas”, como C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG), e Lua (DROPCLUE).
As cadeias de ataque começam com uma mensagem de phishing que entrega uma carga útil – codificada em C++ (MeltingClaw) ou Rust (RustyClaw) – que é executada alimentando ShadyHammock e DustyHammock em segundo plano, respectivamente. Correspondentemente, um documento falsificado é mostrado ao receptor para manter a falsificação.
Enquanto o DustyHammock foi projetado para se comunicar com o servidor de comando e controle (C2), executar comandos arbitrários e baixar arquivos do servidor, o ShadyHammock serve como plataforma de lançamento do SingleCamper e escuta os comandos recebidos.
Apesar dos recursos adicionais do ShadyHammock, acredita-se que seja o antecessor do DustyHammock, dado o fato de que este último foi visto em um ataque recentemente, em setembro de 2024.
SingleCamper, a versão mais recente do RomCom RAT, é responsável por muitas tarefas pós-comprometimento, incluindo o download da ferramenta Plink do PuTTY para estabelecer túneis remotos com infraestrutura controlada pelo inimigo, reconhecimento de rede, movimentos coletivos, descoberta de usuários e programas e extração de dados.
“Esta série específica de ataques, visando as organizações de elite da Ucrânia, pode ter como objetivo usar a estratégia dupla do UAT-5647 de forma faseada – para estabelecer acesso a longo prazo e extrair dados durante o maior tempo possível para apoiar a espionagem propósitos, e depois disso, um possível pivô no uso de ransomware para interromper e lucrar financeiramente com o comprometimento”, disseram os pesquisadores.
“Também é possível que organizações polonesas também tenham sido visadas, com base nos testes de idioma do teclado realizados pelo malware”.
