Cybersecurity -onderzoekers hebben de tactische overeenkomsten tussen de dreigingsacteurs achter de Romcom rat en een cluster dat is waargenomen dat een lader wordt geleverd nagesynchroniseerd Transferloader.
Enterprise Security Firm Proofpoint volgt de activiteit die is gekoppeld aan TransferLoader naar een groep nagesynchroniseerd Unk_greensec en de Romcom Rat -acteurs onder de naam TA829. De laatste is ook bekend onder de namen Sigar, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 en leegte Rabisu.
Het bedrijf zei dat het UNK_GREENSEC ontdekte als onderdeel van zijn onderzoek naar TA829, en het beschrijft als het gebruik van een “ongebruikelijke hoeveelheid vergelijkbare infrastructuur, leveringstactieken, bestemmingspagina’s en e -mailthema’s.”
TA829 is iets van een ongebruikelijke hackgroep in het dreigingslandschap, gezien zijn vermogen om zowel spionage als financieel gemotiveerde aanvallen uit te voeren. De Rusland-uitgelijnde hybride groep is ook gekoppeld aan de zero-day exploitatie van beveiligingsfouten in Mozilla Firefox en Microsoft Windows om Romcom Rat te leveren in aanvallen gericht op wereldwijde doelen.
Eerder dit jaar beschreef PRADAFT het gebruik van de dreiging acteurs van kogelvrije hostingproviders, living-off-the-land (lotl) tactieken en gecodeerde command-and-control (C2) communicatie om detectie te zijde.
Transferloader daarentegen werd voor het eerst gedocumenteerd door ZScaler Threatlabz in verband met een campagne van februari 2025 die de Morpheus Ransomware op een naamloze advocatenkantoor leverde.
Proofpoint merkte op dat campagnes die zowel TA829 als UNK_GREENSEC hebben uitgevoerd, afhankelijk zijn van REM -proxy -diensten die worden ingezet op gecompromitteerde Mikrotik -routers voor hun stroomopwaartse infrastructuur. Dat gezegd hebbende, de exacte methode die wordt gebruikt om deze apparaten te overtreden, is niet bekend.
“REM -proxy -apparaten worden waarschijnlijk verhuurd aan gebruikers om verkeer door te geven,” zei het onderzoeksteam van Proofpoint Threat. “In waargenomen campagnes gebruiken zowel TA829 als UNK_GREENSEC de service om verkeer door te geven aan nieuwe accounts bij Freemail -providers om vervolgens naar doelen te verzenden. REM -proxy -services zijn ook gebruikt door TA829 om vergelijkbare campagnes te starten via gecompromitteerde e -mailaccounts.”
Aangezien het formaat van de afzenderadressen vergelijkbaar is – bijvoorbeeld [email protected] en [email protected] – is van mening dat de dreigingsactoren waarschijnlijk een soort van een e -mailbouwer hulpprogramma maken die de en massa -creatie vergemakkelijkt en e -mails via REM -proxy -knooppunten gebruikt.
De berichten fungeren als een leiding om een link te leveren, die direct in het lichaam of binnen een PDF -bijlage is ingebed. Als u op de link klikt, wordt een reeks omleidingen via rebrandly initieert die uiteindelijk het slachtoffer naar een nep Google Drive of Microsoft OneDrive -pagina brengen, terwijl machines worden gemarkeerd die zijn gemarkeerd als sandboxen of niet van belang zijn voor de aanvallers.
Het is in dit stadium dat de aanvalsketens splinter in twee, omdat de tegenstanderinfrastructuur waarnaar de doelen worden omgeleid anders is, uiteindelijk de weg vrijmaken voor transferloader in het geval van unk_greensec en een malware -stam genaamd Slipscreen in het geval van TA829.
“TA829 en UNK_GREENSEC hebben zowel het plinkhulpprogramma van Putty geïmplementeerd om SSH-tunnels in te stellen, en beide gebruikten IPFS-services om die hulpprogramma’s te hosten in vervolgactiviteit,” merkte Proofpoint op.
SlipScreen is a first-stage loader that’s designed to decrypt and load shellcode directly into memory and initiate communications with a remote server, but only after a Windows Registry check to ensure the targeted computer has at least 55 recent documents based on the “HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerRecentDocs” key.
De infectiesequentie wordt vervolgens gebruikt om een downloader te implementeren met de naam Meltingclaw (aka damascened peacock) of Rustyclaw, die vervolgens wordt gebruikt om backdoors zoals Shadyhammock of Dustyhammock te laten vallen, waarbij de eerste wordt gebruikt om SingleCamper (aka snipbot), een bijgewerkte versie van Romcom Rat te lanceren.
Dustyhammock, naast het uitvoeren van verkenningsopdrachten op een geïnfecteerd systeem, wordt uitgerust met de mogelijkheid om extra payloads te downloaden die zijn gehost op het Interplanetary File System (IPFS) -netwerk.
Er zijn campagnes die de transferloader propageerden gevonden om berichten met taakmogelijkheden-thema te gebruiken om slachtoffers te misleiden om te klikken op een link die ogenschijnlijk tot een PDF-cv leidt, maar in werkelijkheid resulteert in het downloaden van TransferLoader uit een IPFS-webshare.
Het primaire doel van TransfransLoader is om onder de radar te vliegen en meer malware te bedienen, zoals Metasploit en Morpheus Ransomware, een omgekeerde versie van Hellcat -ransomware.
“In tegenstelling tot de TA829-campagnes, hebben de JavaScript-componenten van de TransferLoader-campagnes gebruikers omgeleid naar een ander PHP-eindpunt op dezelfde server, waardoor de operator verdere server-side filtering kan uitvoeren,” zei Proofpoint. “UNK_GREENSEC gebruikte een dynamische bestemmingspagina, vaak irrelevant voor de OneDrive -spoof, en omgeleide gebruikers naar de uiteindelijke lading die werd opgeslagen op een IPFS -webshare.”
Het overlappende tradecraft tussen TA829 en UNK_GREENSEC roept een van de vier mogelijkheden op –
- De dreigingsactoren kopen distributie en infrastructuur van dezelfde externe provider
- TA829 verwerft en distribueert alleen infrastructuur en heeft deze diensten verleend aan UNK_GREENSEC
- UNK_GREENSEC is de infrastructuuraanbieder die meestal zijn warez aanbiedt aan TA829, maar besloot het tijdelijk te gebruiken om zijn eigen malware, TransferLoader te leveren
- TA829 en UNK_GREENSEC zijn één en hetzelfde, en TransferLoader is een nieuwe toevoeging aan hun malware -arsenaal
“In het huidige landschap van de dreiging blijven de punten waarop cybercriminaliteit en spionage -activiteit overlappen, toenemen, waardoor de onderscheidende barrières worden verwijderd die criminele en nationale actoren scheiden,” zei Proofpoint. “Campagnes, indicatoren en gedrag van de dreiging zijn samengekomen, waardoor toeschrijving en clustering binnen het ecosysteem uitdagender wordt.”
“Hoewel er onvoldoende bewijs is om de exacte aard van de relatie tussen TA829 en UNK_GREENSEC te onderbouwen, is er zeer waarschijnlijk een verband tussen de groepen.”
