Russische RomCom-Angriffe auf die ukrainische Regierung
Wie aus jüngsten Medienberichtenhaben ukrainische Regierungsstellen eine neue Welle von russischen RomCom-Angriffe. Der Bedrohungsakteur, der hinter den Angriffen steht, verwendet einen Remote-Access-Trojaner (RAT) für böswillige Initiativen wie Erpressung und den Erwerb von Anmeldedaten. In diesem Artikel befassen wir uns mit dem Angriff und decken verschiedene Methoden auf, die für solche Zwecke eingesetzt werden. Fangen wir an!
RomCom-Angriffe auf Regierungsbehörden
Diese RomCom-Angriffe werden von Cisco Talos unter dem Namen UAT-5647 Activity Clusters überwacht. Berichten zufolge stützt sich RomCom, ein russischer Bedrohungsakteur, bei seinen Initiativen auf das SingleCamper RAT. Der RAT wird auch als SnipBot oder RomCom 5.0 bezeichnet.
Die Cybersecurity-Experten Dmytro Korzhevin, Asheer Malhotra, Vanja Svajcer und Vitor Ventura kommentierten die neue Welle von UAT-5647-Spionageaktivitäten mit den Worten erklärt das:
"Diese Version wird direkt aus der Registrierung in den Speicher geladen und verwendet eine Loopback-Adresse, um mit dem Ladeprogramm zu kommunizieren.
Aktivitäten der RomCom-Bedrohungsakteure
Bevor wir in weitere Details eintauchen, ist es erwähnenswert, dass die RomCom-Angriffe Hacker auch als Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 und Void Rabisu bekannt ist. Die Aktivitäten im Zusammenhang mit diesem Bedrohungsakteur haben in den letzten Monaten zugenommen. Während der RomCom-Angriffe besteht ein Hauptziel darin, eine langfristige Persistenz zu entwickeln und Daten zu extrahieren.
Darüber hinaus wird vermutet, dass der Bedrohungsakteur seine Angriffsinfrastruktur mit verschiedenen Malware-Komponenten erweitert, die in unterschiedlichen Programmiersprachen entwickelt wurden. Zu diesen Programmiersprachen und Angriffskomponenten gehören:
Programmiersprache | Angriffs-Komponente |
C++ | ShadyHammock, MeltingClaw |
Rost | DustyHammock, Rusty Claw |
Weiter | GLUEEGG |
Lua | DROPCLUE |
SingleCamper Malware-Angriffskette
Die RomCom-Angriffe Hacker verwenden Spear-Phishing-Nachrichten, die einen Downloader enthalten, der in C++ oder Rust codiert ist. Dieser Downloader wird verwendet, um die ShadyHammock- und DustyHammock-Backdoor zu installieren.
Der DustyHammock-Downloader dient zur Kontaktaufnahme mit dem Command-and-Control (C2) Server, führt beliebige Befehle aus und lädt Dateien von dem Server herunter. ShadyHammock hingegen startet das SingleCamper RAT, das dann mehrere bösartige Aktivitäten auslöst, darunter:
- Datenexfiltration.
- Seitliche Bewegung.
- Netzwerk-Aufklärung.
- Benutzer- und Systemerkennung.
- Herunterladen des Plink-Tools von PuTTY zum Aufbau von Ferntunneln.
Cybersicherheitsexperten haben diese Angriffstaktiken kommentiert:
"Diese spezielle Angriffsserie, die auf hochkarätige ukrainische Einrichtungen abzielt, soll wahrscheinlich der zweigleisigen Strategie von UAT-5647 dienen - langfristiger Zugriff und Exfiltration von Daten für eine möglichst lange Zeit, um Spionagemotive zu unterstützen, und dann möglicherweise der Einsatz von Ransomware, um zu stören und wahrscheinlich finanziell von der Kompromittierung zu profitieren.
Schlussfolgerung
Die RomCom-Angriffe auf ukrainische Regierungsbehörden verdeutlichen die zunehmende Raffinesse russischer Cyberspionagetaktiken. Durch den Einsatz des SingleCamper RAT und verschiedener Malware-Komponenten versuchen die Bedrohungsakteure, sich langfristig zu etablieren, sensible Daten zu exfiltrieren und möglicherweise Ransomware für finanzielle Zwecke einzusetzen.
Angesichts des technologischen Fortschritts sind Cyberangriffe heute immer komplexer. Eine solche Bedrohungslandschaft erfordert nun den Einsatz von robuste Cybersicherheitsmaßnahmen die das Risiko verringern und die Sicherheitslage verbessern können.
Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und BackBox.