Russische RomCom-aanvallen richten zich op de Oekraïense regering met een nieuwe SingleCamper RAT-variant

De Russische dreigingsactor bekend als RomCom wordt sinds eind 2023 in verband gebracht met een nieuwe golf van cyberaanvallen gericht op Oekraïense overheidsinstanties en onbekende Poolse entiteiten.

De inbraken worden gekenmerkt door het gebruik van een variant van de RomCom RAT genaamd SingleCamper (ook bekend als SnipBot of RomCom 5.0), zei Cisco Talos, die het activiteitencluster monitort onder de naam UAT-5647.

“Deze versie wordt rechtstreeks vanuit het register in het geheugen geladen en gebruikt een loopback-adres om met de lader te communiceren”, merkten beveiligingsonderzoekers Dmytro Korzhevin, Asheer Malhotra, Vanja Svajcer en Vitor Ventura op.

RomCom, ook gevolgd als Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 en Void Rabisu, is sinds de opkomst in 2022 betrokken bij multi-motivationele operaties zoals ransomware, afpersing en het doelgericht verzamelen van inloggegevens.

Er is vastgesteld dat het operationele tempo van hun aanvallen de afgelopen maanden is toegenomen met als doel om langdurige persistentie op gecompromitteerde netwerken op te bouwen en gegevens te exfiltreren, wat duidt op een duidelijke spionageagenda.

Daartoe zou de bedreigingsactoren “hun tools en infrastructuur op agressieve wijze uitbreiden om een ​​grote verscheidenheid aan malwarecomponenten te ondersteunen die in verschillende talen en platforms zijn geschreven”, zoals C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG), en Lua (DROPCLUE).

De aanvalsketens beginnen met een spearphishing-bericht dat een downloader aflevert – gecodeerd in C++ (MeltingClaw) of Rust (RustyClaw) – die dient om respectievelijk de ShadyHammock- en DustyHammock-achterdeuren in te zetten. Tegelijkertijd wordt een lokdocument aan de ontvanger getoond om de list in stand te houden.

Terwijl DustyHammock is ontworpen om contact te maken met een command-and-control (C2)-server, willekeurige commando’s uit te voeren en bestanden van de server te downloaden, fungeert ShadyHammock als startpunt voor SingleCamper en luistert hij naar inkomende commando’s.

Ondanks de extra functies van ShadyHammock wordt aangenomen dat het een voorloper is van DustyHammock, gezien het feit dat laatstgenoemde pas in september 2024 bij aanvallen werd waargenomen.

SingleCamper, de nieuwste versie van RomCom RAT, is verantwoordelijk voor een breed scala aan post-compromisactiviteiten, waaronder het downloaden van de PuTTY’s Plink-tool om op afstand gelegen tunnels tot stand te brengen met door de tegenstander gecontroleerde infrastructuur, netwerkverkenning, zijwaartse beweging, gebruikers- en systeemdetectie, en data-exfiltratie.

“Deze specifieke reeks aanvallen, gericht op Oekraïense entiteiten met een hoog profiel, is waarschijnlijk bedoeld om de tweeledige strategie van UAT-5647 op een gefaseerde manier te dienen: toegang op lange termijn tot stand brengen en gegevens zo lang mogelijk exfiltreren om spionagemotieven te ondersteunen, en vervolgens kunnen mogelijk een overstap maken naar de inzet van ransomware om het compromis te verstoren en er waarschijnlijk financieel voordeel uit te halen”, aldus de onderzoekers.

“Het is ook waarschijnlijk dat Poolse entiteiten ook het doelwit waren, gebaseerd op de toetsenbordtaalcontroles die door de malware werden uitgevoerd.”

Thijs Van der Does