Найти тему
Securitylab.ru

Квартет хакеров взламывает госструктуры Украины изнутри

Новый арсенал группы плетет сеть кибершпионажа в Восточной Европе.

Специалисты Cisco Talos выявили новую волну атак группы UAT-5647 (RomCom), которая нацелена на госструктуры Украины и неназванные польские организации с конца 2023 года.

Последняя кампания включает обновленную версию вредоносного ПО RomCom под названием SingleCamper. Программа загружается напрямую из реестра в оперативную память и использует Loopback Address для связи с загрузчиком. Инструментарий группы UAT-5647 значительно расширился и включает четыре семейства вредоносных программ: два загрузчика и два бэкдора.

Хакеры активно используют методы проникновения в пограничные устройства, перенаправляя трафик с внутренних интерфейсов на удаленные сервера, что усложняет процесс обнаружения угроз в ходе реагирования на инциденты. В ходе атак UAT-5647 стремится обеспечить долгосрочный доступ к целевым системам для кражи данных, а затем может перейти к использованию программ-вымогателей для получения финансовой выгоды.

Тактика и методики атак

Основной метод заражения — фишинговые сообщения, содержащие загрузчики RustClaw или MeltingClaw, которые обеспечивают установку бэкдоров DustyHammock (Rust) и ShadyHammock (C++). DustyHammock выполняет команды с командного центра, а ShadyHammock активирует вредоносные компоненты и может получать команды через локальные интерфейсы.

После проникновения в сеть, злоумышленники проводят рекогносцировку, используя инструменты вроде PuTTY Plink для создания туннелей между внутренними интерфейсами и внешними серверами. Подобная тактика позволяет хакерам избегать обнаружения и получить доступ к конфиденциальной информации и настройкам сетевых устройств, например, маршрутизаторам TP-LINK.

Группа активно использует сканирования портов и команды для анализа системной информации и сетевых подключений. На целевых устройствах запускаются команды для выявления открытых портов и ресурсов, таких как «net view» и «ping», что позволяет получить доступ к общим папкам и важной информации.

Углубленный анализ вредоносных программ

В новой цепочке атак UAT-5647 делает ставку на использование различных языков программирования, включая GoLang, C++, Rust и LUA, для создания мультифункциональных вредоносных компонентов. Вредоносные программы предназначены для сбора данных, загрузки дополнительных файлов и активации PuTTY Plink для дальнейшего распространения по сети.

Среди особенностей можно выделить способность SingleCamper отправлять команды своему загрузчику ShadyHammock через локальный интерфейс, что позволяет удаленно управлять зараженной системой и выполнять команды на уровне системы без взаимодействия с внешними серверами.

Атаки UAT-5647 продолжаются, и аналитики Talos прогнозируют, что группа будет усиливать деятельность с целью получения долгосрочного доступа и кражи данных, одновременно продолжая использовать программы-вымогатели для дестабилизации инфраструктуры и получения прибыли.