VietNetwork.Vn

Nhóm tin tặc người Nga có tên RomCom đã liên quan đến làn sóng tấn công mạng mới nhằm vào các cơ quan chính phủ Ukraine và các thực thể Ba Lan không xác định kể từ ít nhất cuối năm 2023.

Cisco Talos cho biết các cuộc xâm nhập được đặc trưng bởi việc sử dụng một biến thể của RomCom RAT có tên là SingleCamper (hay còn gọi là SnipBot hoặc RomCom 5.0), công ty này đang theo dõi cụm hoạt động dưới biệt danh UAT-5647.


"Phiên bản này được tải trực tiếp từ sổ đăng ký vào bộ nhớ và sử dụng địa chỉ vòng lặp để giao tiếp với trình tải của nó", các nhà nghiên cứu bảo mật Dmytro Korzhevin, Asheer Malhotra, Vanja Svajcer và Vitor Ventura lưu ý.

RomCom, còn được theo dõi với tên gọi Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 và Void Rabisu, đã tham gia vào các hoạt động có nhiều mục đích như ransomware, tống tiền và thu thập thông tin xác thực có chủ đích kể từ khi xuất hiện vào năm 2022.

Người ta đánh giá rằng nhịp độ hoạt động của các cuộc tấn công của chúng đã tăng lên trong những tháng gần đây với mục đích thiết lập sự tồn tại lâu dài trên các mạng bị xâm phạm và đánh cắp dữ liệu, cho thấy mục đích gián điệp rõ ràng.

Để đạt được mục đích đó, tác nhân đe dọa được cho là "đang tích cực mở rộng công cụ và cơ sở hạ tầng để hỗ trợ nhiều thành phần phần mềm độc hại được tạo bằng nhiều ngôn ngữ và nền tảng khác nhau" như C++ (ShadyHammock), Rust (DustyHammock), Go ( GLUEGG ) và Lua ( DROPCLUE ).

Chuỗi tấn công bắt đầu bằng một tin nhắn lừa đảo có nội dung là một trình tải xuống -- được mã hóa bằng C++ (MeltingClaw) hoặc Rust (RustyClaw) -- dùng để triển khai các cửa hậu ShadyHammock và DustyHammock. Song song đó, một tài liệu mồi nhử được hiển thị cho người nhận để duy trì trò lừa bịp.

Trong khi DustyHammock được thiết kế để liên lạc với máy chủ chỉ huy và điều khiển (C2), chạy các lệnh tùy ý và tải xuống các tệp từ máy chủ, ShadyHammock hoạt động như một bệ phóng cho SingleCamper cũng như lắng nghe các lệnh đến.

Mặc dù có thêm các tính năng bổ sung như ShadyHammock, người ta tin rằng nó là phiên bản tiền nhiệm của DustyHammock, vì phiên bản sau đã được phát hiện trong các cuộc tấn công gần đây nhất là vào tháng 9 năm 2024.

SingleCamper, phiên bản mới nhất của RomCom RAT, chịu trách nhiệm thực hiện nhiều hoạt động sau khi xâm nhập, bao gồm tải xuống công cụ Plink của PuTTY để thiết lập đường hầm từ xa với cơ sở hạ tầng do đối thủ kiểm soát, trinh sát mạng, di chuyển ngang, phát hiện người dùng và hệ thống cũng như đánh cắp dữ liệu.

Các nhà nghiên cứu cho biết: "Loạt tấn công cụ thể này, nhắm vào các thực thể cấp cao của Ukraine, có khả năng là để phục vụ chiến lược hai mũi nhọn của UAT-5647 theo cách được dàn dựng - thiết lập quyền truy cập dài hạn và đánh cắp dữ liệu trong thời gian dài nhất có thể để hỗ trợ động cơ gián điệp, sau đó có khả năng chuyển sang triển khai phần mềm tống tiền để phá vỡ và có khả năng thu lợi về mặt tài chính từ việc xâm phạm".

"Rất có khả năng các tổ chức Ba Lan cũng bị nhắm mục tiêu, dựa trên các lần kiểm tra ngôn ngữ bàn phím được phần mềm độc hại thực hiện."

Tiết lộ này được đưa ra sau khi Đội ứng phó khẩn cấp máy tính của Ukraine (CERT-UA) cảnh báo về các cuộc tấn công mạng do một tác nhân đe dọa có tên là UAC-0050 thực hiện nhằm đánh cắp tiền cũng như thông tin nhạy cảm bằng nhiều loại phần mềm độc hại khác nhau như Remcos RAT, SectopRAT, Xeno RAT, Lumma Stealer, Mars Stealer và Meduza Stealer.

CERT-UA cho biết : "Các hoạt động trộm cắp tài chính của UAC-0050 chủ yếu liên quan đến việc đánh cắp tiền từ tài khoản của các doanh nghiệp và doanh nhân tư nhân Ukraine sau khi truy cập trái phép vào máy tính của các kế toán viên thông qua các công cụ điều khiển từ xa, chẳng hạn như Remcos và TEKTONITRMS".

"Trong giai đoạn từ tháng 9 đến tháng 10 năm 2024, UAC-0050 đã thực hiện ít nhất 30 nỗ lực như vậy. Các cuộc tấn công này liên quan đến việc tạo các khoản thanh toán tài chính giả thông qua hệ thống ngân hàng từ xa, với số tiền dao động từ hàng chục nghìn đến vài triệu UAH."

CERT-UA cũng tiết lộ rằng họ đã quan sát thấy những nỗ lực phát tán tin nhắn độc hại thông qua tài khoản @reserveplusbot trên ứng dụng tin nhắn Telegram nhằm mục đích triển khai phần mềm độc hại Meduza Stealer với lý do cài đặt "phần mềm đặc biệt".

"Tài khoản @reserveplusbot đang giả dạng là một bot Telegram để bắt chước hỗ trợ kỹ thuật của 'Reserve+', một ứng dụng cho phép lính nghĩa vụ và quân dự bị cập nhật dữ liệu của họ từ xa thay vì phải đến văn phòng tuyển quân", cơ quan này cho biết. "Cần lưu ý rằng một tài khoản như vậy thực sự đã được liệt kê là một trong những địa chỉ liên hệ hỗ trợ kỹ thuật của 'Reserve+' vào tháng 5 năm 2024".