خانه » نسخه جدید بدافزار RomCom، کابوس نهادهای دولتی اوکراین شد!

نسخه جدید بدافزار RomCom، کابوس نهادهای دولتی اوکراین شد!

توسط Vulnerbyte
21 بازدید
بدافزار RomCom - گروه vulnerbyte - نسخه SingleCamper بدافزار - SnipBot - گروه والنربایت - vulnerbyte group - گروه UAT-5647

محققان سیسکو تالوس از اواخر سال 2023 شاهد موج جدیدی از حملات سایبری از سوی یک گروه تهدید کننده روسی به نام UAT-5647 می‌باشند. این گروه نوع جدیدی از بدافزار RomCom را علیه نهادهای دولتی اوکراین و لهستان به کار گرفته است.

RomCom که با نام‌های Storm-0978، Tropical Scorpius، UAC-0180، UNC2596 و Void Rabisu نیز دنبال می‌شود از زمان آغاز فعالیت خود در سال 2022، در عملیات‌های مختلفی مانند جاسوسی، باج‌ افزاری، اخاذی و جمع‌آوری اطلاعات هدفمند به کار گرفته شده است.

نسخه به روزرسانی شده بدافزار RomCom که سیسکو تالوس آن را “SingleCamper” (معروف به SnipBot یا RomCom 5.0) نامیده در آخرین سری از حملات سایبری استفاده شده است. این نسخه مستقیماً از رجیستری در حافظه بارگذاری می‌شود و از آدرس Loopback برای برقراری ارتباط با لودر خود استفاده می‌کند.

UAT-5647 همچنین ابزارهای خود را به گونه ای تکامل داده است که شامل چهار خانواده بدافزار متمایز می‌شود: دو دانلودر که با نام‌های RustClaw و MeltingClaw دنبال می‌شوند؛ یک بکدور مبتنی بر RUST که DustyHammock نام دارد و یک بکدور مبتنی بر ++C که ShadyHammock نامیده می‌شود.

شواهد حاکی از آن است که RomCom در حال گسترش ابزار و زیرساخت‌های خود برای پشتیبانی از طیف گسترده‌ای از کامپوننت‌های بدافزاری است که در زبان‌ها و پلتفرم‌های مختلف مانند GoLang، C++، RUST  و LUA نوشته و توسعه داده شده‌اند.

RomCom در طول حرکت جانبی خود در شبکه قربانی، سعی دارد تا دستگاه‌های لبه شبکه را با تونل زدن اینترفیس‌های داخلی به میزبان‌های خارجی و از راه دور تحت کنترل UAT-5647 مورد نفوذ قرار دهد. از این رو، در صورت موفقیت آمیز بودن این حملات، شانس بیشتری برای فرار از تشخیص خواهد داشت.

ایجاد دسترسی طولانی ‌مدت و استخراج داده‌ حاکی از یک حمله سایبری و جاسوسی هدفمند است. احتمال می‌رود که نهادهای لهستانی بر اساس بررسی‌های زبان صفحه کلید انجام شده توسط بدافزار مورد هدف قرار گرفته باشند.

 

زنجیره نفوذ بدافزار RomCom

زنجیره نفوذ RomCom شامل یک پیام فیشینگ هدفمند است که یک دانلودر متشکل از یکی از دو نوع RustyClaw (یک دانلودر مبتنی بر RUST) یا MeltingClaw (یک دانلودر مبتنی بر C++) همراه با یک سند برای قربانی ارسال می‌شود.

دانلودرها، راه را برای نصب دو بکدور DustyHammock و ShadyHammock هموار می‌کنند. بکدور DustyHammock، کامپوننت اصلی فرآیند نفوذ و برقراری ارتباط با سرور فرماندهی و کنترل (C2) می‌باشد.

ShadyHammock نیز یک بکدور دو طرفه است که مسئول بارگذاری و فعال سازی ایمپلنت SingleCamper بر روی یک سیستم آلوده و گوش دادن به دستورات دریافتی از یک کامپوننت مخرب دیگر می‌باشد.

زنجیره نفوذ را می‌توان به صورت زیر به تصویر کشید:

بدافزار RomCom - گروه vulnerbyte - نسخه SingleCamper بدافزار - SnipBot - گروه والنربایت - vulnerbyte group - گروه UAT-5647

SingleCamper، آخرین نسخه RomCom RAT، مسئول طیف گسترده‌ای از فعالیت‌های پس از نفوذ از جمله دانلود ابزار Plink برنامه PuTTY برای ایجاد تونل‌های راه دور با زیرساخت‌های کنترل شده توسط هکر، شناسایی شبکه، حرکت جانبی در شبکه، کشف کاربر و سیستم و استخراج داده‌ها است.

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید