Οι Ρώσοι hackers RomCom έχουν συνδεθεί με νέες επιθέσεις που στοχεύουν ουκρανικές κυβερνητικές υπηρεσίες και πολωνικές οντότητες με το νέο RAT malware SingleCamper, τουλάχιστον από τα τέλη του 2023.
Σύμφωνα με τη Cisco Talos, που παρακολουθεί την ομάδα ως UAT-5647, το SingleCamper (γνωστό και ως SnipBot ή RomCom 5.0) είναι μια νέα παραλλαγή του RomCom RAT.
“Αυτή η έκδοση φορτώνεται απευθείας από το μητρώο στη μνήμη και χρησιμοποιεί μια διεύθυνση loopback για να επικοινωνεί με τον loader της“, σημείωσαν οι ερευνητές ασφαλείας Dmytro Korzhevin, Asheer Malhotra, Vanja Svajcer και Vitor Ventura.
Δείτε επίσης: Η ScarCruft διαδίδει το RokRAT malware μέσω Windows Zero-Day
H Newpark Resources χτυπήθηκε από Ransomware
Πρόστιμο ΜΕΤΑ: Παράνομη Συλλογή Δεδομένων στην Νότια Κορέα
Έργο τέχνης του ρομπότ Ai-Da πωλήθηκε για $ 1,3 εκατ.
Οι Ρώσοι hackers RomCom είναι γνωστοί με διάφορα άλλα ονόματα, όπως Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 και Void Rabisu, και έχουν συνδεθεί με διάφορες κακόβουλες δραστηριότητες, όπως ransomware, εκβιασμούς και στοχευμένη συλλογή διαπιστευτηρίων. Άρχισαν τις δραστηριότητές τους το 2022.
Εκτιμάται ότι οι επιθέσεις τους έχουν αυξηθεί τους τελευταίους μήνες, με στόχο τη δημιουργία persistence σε παραβιασμένα δίκτυα και την κλοπή δεδομένων. Αυτές οι ενέργειες ταιριάζουν με επιχειρήσεις κατασκοπείας.
Σύμφωνα με τους ερευνητές, οι Ρώσοι hackers RomCom επεκτείνουν τα εργαλεία και την υποδομή τους για να υποστηρίξουν μια μεγάλη ποικιλία malware components. Αυτά έχουν δημιουργηθεί σε διαφορετικές γλώσσες, όπως C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG), και Lua (DROPCLUE).
Οι επιθέσεις ξεκινούν, συνήθως, με ένα spear-phishing email που παραδίδει ένα downloader — είτε κωδικοποιημένο σε C++ (MeltingClaw) είτε σε Rust (RustyClaw). Αυτά οδηγούν στην εγκατάσταση των ShadyHammock και DustyHammock backdoors αντίστοιχα. Παράλληλα, ένα έγγραφο δόλωμα εμφανίζεται στον παραλήπτη για να μην καταλάβει την παραβίαση.
Δείτε επίσης: Το PureCrypter loader χρησιμοποιείται για τη διανομή του DarkVision RAT
Το DustyHammock επικοινωνεί με έναν διακομιστή εντολών και ελέγχου (C2), εκτελεί εντολές και κατεβάζει αρχεία από τον διακομιστή, ενώ το ShadyHammock λειτουργεί ως launchpad για το τελικό malware payload, το SingleCamper.
Το SingleCamper, η τελευταία έκδοση του RomCom RAT malware, μπορεί να κάνει πολλά πράγματα στα παραβιασμένα μηχανήματα. Μπορεί να κατεβάσει το PuTTY’s Plink tool για τη δημιουργία remote tunnels με την υποδομή που ελέγχεται από τους επιτιθέμενους, μπορεί να κάνει network reconnaissance, να εξαπλωθεί στο δίκτυο, να κλέψει δεδομένα και άλλα.
Σύμφωνα με τους ερευνητές, αυτές οι επιθέσεις των Ρώσων hackers RomCom, που στοχεύουν σημαντικές ουκρανικές οντότητες, πιθανότατα εξυπηρετούν δύο σκοπούς: κυβερνοκατασκοπεία και οικονομικό κέρδος. Δημιουργούν μακροπρόθεσμη πρόσβαση και κλέβουν δεδομένα για όσο το δυνατόν περισσότερο (κυβερνοκατασκοπεία) και αναπτύσσουν ransomware (διατάραξη λειτουργίας στόχων και οικονομικό κέρδος).
Ποιες είναι οι βέλτιστες μέθοδοι προστασίας από RAT malware;
Η πρώτη και πιο σημαντική μέθοδος προστασίας είναι η ενημέρωση και η εκπαίδευση. Οι χρήστες πρέπει να γνωρίζουν τις τεχνικές που χρησιμοποιούν οι επιτιθέμενοι για να διαδώσουν το malware ώστε να μπορούν να τις αναγνωρίσουν και να τις αποφύγουν.
Δείτε επίσης: Το DCRat στοχεύει Ρωσόφωνους χρήστες μέσω HTML Smuggling
Η εγκατάσταση ενός αξιόπιστου λογισμικού ασφαλείας είναι άλλη μία βασική μέθοδος προστασίας από malware. Αυτό το λογισμικό πρέπει να περιλαμβάνει antivirus, anti-spyware και anti-malware λειτουργίες, καθώς και προστασία από phishing.
Επίσης, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και όλες τις εφαρμογές ενημερωμένες. Οι ενημερώσεις περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τις τελευταίες απειλές.
Τέλος, η προσεκτική αλληλεπίδραση με τα ηλεκτρονικά μηνύματα και τα συνημμένα αρχεία είναι ζωτικής σημασίας. Ποτέ μην ανοίγετε συνημμένα και μην κάνετε κλικ σε συνδέσμους από άγνωστες πηγές γιατί μπορεί να περιέχουν malware.
Πηγή: thehackernews.com