Новый арсенал группы плетет сеть кибершпионажа в Восточной Европе.
Специалисты Cisco Talos выявили новую волну атак группы UAT-5647 (RomCom), которая нацелена на госструктуры Украины и неназванные польские организации с конца 2023 года.
Последняя кампания включает обновленную версию вредоносного ПО RomCom под названием SingleCamper. Программа загружается напрямую из реестра в оперативную память и использует Loopback Address для связи с загрузчиком. Инструментарий группы UAT-5647 значительно расширился и включает четыре семейства вредоносных программ: два загрузчика и два бэкдора.
Хакеры активно используют методы проникновения в пограничные устройства, перенаправляя трафик с внутренних интерфейсов на удаленные сервера, что усложняет процесс обнаружения угроз в ходе реагирования на инциденты. В ходе атак UAT-5647 стремится обеспечить долгосрочный доступ к целевым системам для кражи данных, а затем может перейти к использованию программ-вымогателей для получения финансовой выгоды.
Тактика и методики атак
Основной метод заражения — фишинговые сообщения, содержащие загрузчики RustClaw или MeltingClaw, которые обеспечивают установку бэкдоров DustyHammock (Rust) и ShadyHammock (C++). DustyHammock выполняет команды с командного центра, а ShadyHammock активирует вредоносные компоненты и может получать команды через локальные интерфейсы.
После проникновения в сеть, злоумышленники проводят рекогносцировку, используя инструменты вроде PuTTY Plink для создания туннелей между внутренними интерфейсами и внешними серверами. Подобная тактика позволяет хакерам избегать обнаружения и получить доступ к конфиденциальной информации и настройкам сетевых устройств, например, маршрутизаторам TP-LINK.
Группа активно использует сканирования портов и команды для анализа системной информации и сетевых подключений. На целевых устройствах запускаются команды для выявления открытых портов и ресурсов, таких как «net view» и «ping», что позволяет получить доступ к общим папкам и важной информации.
Углубленный анализ вредоносных программ
В новой цепочке атак UAT-5647 делает ставку на использование различных языков программирования, включая GoLang, C++, Rust и LUA, для создания мультифункциональных вредоносных компонентов. Вредоносные программы предназначены для сбора данных, загрузки дополнительных файлов и активации PuTTY Plink для дальнейшего распространения по сети.
Среди особенностей можно выделить способность SingleCamper отправлять команды своему загрузчику ShadyHammock через локальный интерфейс, что позволяет удаленно управлять зараженной системой и выполнять команды на уровне системы без взаимодействия с внешними серверами.
Атаки UAT-5647 продолжаются, и аналитики Talos прогнозируют, что группа будет усиливать деятельность с целью получения долгосрочного доступа и кражи данных, одновременно продолжая использовать программы-вымогатели для дестабилизации инфраструктуры и получения прибыли.