Os ataques cibernéticos têm se intensificado na guerra entre Rússia e Ucrânia, e uma nova ameaça foi identificada envolvendo uma variante do malware SingleCamper RAT. O grupo russo RomCom, conhecido por sua atuação em operações cibernéticas, foi apontado como responsável por uma série de ataques direcionados a agências governamentais ucranianas e entidades polonesas desde o final de 2023. Estes ataques representam uma ameaça significativa à segurança digital na região, com foco em espionagem e interrupção de sistemas críticos.
1. Sumário Executivo
Desde o final de 2023, o grupo RomCom iniciou uma série de operações cibernéticas contra alvos de alto perfil na Ucrânia e na Polônia. Esses ataques utilizam uma nova variante do malware SingleCamper RAT, que foi aperfeiçoada para maximizar a persistência e a capacidade de coleta de dados dos sistemas infectados. Além da exfiltração de dados sensíveis, o malware também abre portas para ataques posteriores de ransomware, ampliando o potencial de dano.
2. Informações sobre a Ameaça
O agente de ameaças russo UAT-5647 intensificou suas atividades, utilizando múltiplas ferramentas de malware, como RustyClaw e MeltingClaw. Essas ferramentas são responsáveis pela instalação de backdoors como DustyHammock e ShadyHammock, que permitem o controle remoto dos sistemas comprometidos. Entre os alvos estão instituições ucranianas, particularmente setores de governo e defesa.
Os ataques começam com campanhas de spear-phishing, que entregam um downloader para infectar as máquinas das vítimas. Após o comprometimento inicial, os backdoors instalam o SingleCamper RAT, que executa uma série de comandos para coleta de informações e persistência no sistema.
2.1 Ferramentas e Táticas
Os principais componentes da campanha incluem:
RustyClaw: Um downloader escrito em RUST, utilizado para estabelecer persistência em sistemas de usuários que falam polonês, ucraniano e russo.
ShadyHammock: Um backdoor avançado que atua como um facilitador, permitindo a execução de comandos maliciosos e o controle do SingleCamper RAT.
SingleCamper RAT: O principal implante responsável pela coleta de informações sensíveis e execução de comandos pós-comprometimento.
Essas ferramentas permitem que os invasores realizem movimento lateral dentro das redes comprometidas, além de exfiltrar dados como credenciais, documentos e outras informações críticas. O malware também é capaz de ocultar suas atividades utilizando técnicas avançadas de evasão, dificultando sua detecção por soluções de segurança tradicionais.
3. Cadeia de Infecção
O ataque se desenvolve em várias etapas. Primeiramente, os e-mails de phishing são utilizados para enganar os usuários a baixar e executar o malware. Em seguida, os backdoors instalados garantem o controle remoto dos sistemas, permitindo que os invasores realizem reconhecimento da rede, identificação de alvos importantes e instalação do SingleCamper RAT.
A partir do momento em que o SingleCamper é ativado, ele coleta informações como endereços IP, detalhes de configuração de rede e credenciais, enviando esses dados para um servidor de comando e controle (C2). Se os atacantes considerarem o sistema valioso o suficiente, comandos adicionais são emitidos para explorar mais a fundo a rede.
3.1 Persistência e Exfiltração de Dados
Uma das principais características do SingleCamper é sua capacidade de manter persistência no sistema. Isso significa que, mesmo após reinicializações ou tentativas de remoção do malware, ele pode se reinstalar e continuar suas atividades maliciosas. Além disso, ele é programado para exfiltrar arquivos de interesse, como documentos .pdf, .docx, .xlsx e e-mails, potencialmente fornecendo aos atacantes informações valiosas sobre as operações ucranianas.
4. Recomendações de Mitigação
Dada a gravidade das campanhas associadas ao SingleCamper RAT, algumas medidas de mitigação são recomendadas para proteger as redes e sistemas contra esses ataques:
Educação sobre phishing: Treinar os funcionários para reconhecer e evitar e-mails suspeitos.
Filtragem de e-mails: Implementar filtros para bloquear anexos e links maliciosos em e-mails.
Segurança de endpoint: Utilizar soluções avançadas de detecção e resposta de endpoint (EDR) para monitorar atividades incomuns.
Segmentação de rede: Isolar infraestruturas críticas para dificultar o movimento lateral.
Monitoramento de logs: Ativar a análise e o monitoramento de logs para detectar padrões suspeitos.
Gerenciamento de patches: Manter os sistemas atualizados e aplicar patches regularmente.
Ferramentas de monitoramento de rede: Implementar soluções de monitoramento de tráfego para detectar atividades de exfiltração de dados.
5. Indicadores de Comprometimento (IoC)
A seguir estão alguns indicadores de comprometimento (IoCs) identificados pela equipe de segurança:
Arquivos maliciosos:
IMG_135310824.exe (SHA256: 12bf973b503296da400fd6f9e3a4c688f14d56ce82ffcfa9edddd7e4b6b93ba9)
controlweb.exe (SHA256: aa09e9dca4994404a5f654be2a051c46f8799b0e987bcefef2b52412ac402105)
Domínios e IPs:
dnsresolver[.]online
apisolving[.]com
192[.]227[.]190[.]127
6. Conclusão
A utilização do SingleCamper RAT em campanhas cibernéticas evidencia a sofisticação das operações russas contra a Ucrânia. Com a capacidade de persistir nos sistemas infectados, coletar informações críticas e executar comandos maliciosos, o SingleCamper representa uma séria ameaça à segurança cibernética. Para mitigar os impactos, é essencial adotar uma postura proativa de segurança, implementando medidas de proteção e monitoramento contínuo.
Referências:
https://blog.talosintelligence.com/uat-5647-romcom/ https://thehackernews.com/2024/10/russian-romcom-attacks-target-ukrainian.html
Comments