top of page
Foto do escritorDiego Arantes

Nova Variante de Malware SingleCamper RAT Utilizada em Ataques Russos contra o Governo Ucraniano

Os ataques cibernéticos têm se intensificado na guerra entre Rússia e Ucrânia, e uma nova ameaça foi identificada envolvendo uma variante do malware SingleCamper RAT. O grupo russo RomCom, conhecido por sua atuação em operações cibernéticas, foi apontado como responsável por uma série de ataques direcionados a agências governamentais ucranianas e entidades polonesas desde o final de 2023. Estes ataques representam uma ameaça significativa à segurança digital na região, com foco em espionagem e interrupção de sistemas críticos.

1. Sumário Executivo

Desde o final de 2023, o grupo RomCom iniciou uma série de operações cibernéticas contra alvos de alto perfil na Ucrânia e na Polônia. Esses ataques utilizam uma nova variante do malware SingleCamper RAT, que foi aperfeiçoada para maximizar a persistência e a capacidade de coleta de dados dos sistemas infectados. Além da exfiltração de dados sensíveis, o malware também abre portas para ataques posteriores de ransomware, ampliando o potencial de dano.


2. Informações sobre a Ameaça

O agente de ameaças russo UAT-5647 intensificou suas atividades, utilizando múltiplas ferramentas de malware, como RustyClaw e MeltingClaw. Essas ferramentas são responsáveis pela instalação de backdoors como DustyHammock e ShadyHammock, que permitem o controle remoto dos sistemas comprometidos. Entre os alvos estão instituições ucranianas, particularmente setores de governo e defesa.

Os ataques começam com campanhas de spear-phishing, que entregam um downloader para infectar as máquinas das vítimas. Após o comprometimento inicial, os backdoors instalam o SingleCamper RAT, que executa uma série de comandos para coleta de informações e persistência no sistema.


2.1 Ferramentas e Táticas

Os principais componentes da campanha incluem:

  • RustyClaw: Um downloader escrito em RUST, utilizado para estabelecer persistência em sistemas de usuários que falam polonês, ucraniano e russo.

  • ShadyHammock: Um backdoor avançado que atua como um facilitador, permitindo a execução de comandos maliciosos e o controle do SingleCamper RAT.

  • SingleCamper RAT: O principal implante responsável pela coleta de informações sensíveis e execução de comandos pós-comprometimento.

Essas ferramentas permitem que os invasores realizem movimento lateral dentro das redes comprometidas, além de exfiltrar dados como credenciais, documentos e outras informações críticas. O malware também é capaz de ocultar suas atividades utilizando técnicas avançadas de evasão, dificultando sua detecção por soluções de segurança tradicionais.


3. Cadeia de Infecção

O ataque se desenvolve em várias etapas. Primeiramente, os e-mails de phishing são utilizados para enganar os usuários a baixar e executar o malware. Em seguida, os backdoors instalados garantem o controle remoto dos sistemas, permitindo que os invasores realizem reconhecimento da rede, identificação de alvos importantes e instalação do SingleCamper RAT.

A partir do momento em que o SingleCamper é ativado, ele coleta informações como endereços IP, detalhes de configuração de rede e credenciais, enviando esses dados para um servidor de comando e controle (C2). Se os atacantes considerarem o sistema valioso o suficiente, comandos adicionais são emitidos para explorar mais a fundo a rede.


3.1 Persistência e Exfiltração de Dados

Uma das principais características do SingleCamper é sua capacidade de manter persistência no sistema. Isso significa que, mesmo após reinicializações ou tentativas de remoção do malware, ele pode se reinstalar e continuar suas atividades maliciosas. Além disso, ele é programado para exfiltrar arquivos de interesse, como documentos .pdf, .docx, .xlsx e e-mails, potencialmente fornecendo aos atacantes informações valiosas sobre as operações ucranianas.


4. Recomendações de Mitigação

Dada a gravidade das campanhas associadas ao SingleCamper RAT, algumas medidas de mitigação são recomendadas para proteger as redes e sistemas contra esses ataques:

  • Educação sobre phishing: Treinar os funcionários para reconhecer e evitar e-mails suspeitos.

  • Filtragem de e-mails: Implementar filtros para bloquear anexos e links maliciosos em e-mails.

  • Segurança de endpoint: Utilizar soluções avançadas de detecção e resposta de endpoint (EDR) para monitorar atividades incomuns.

  • Segmentação de rede: Isolar infraestruturas críticas para dificultar o movimento lateral.

  • Monitoramento de logs: Ativar a análise e o monitoramento de logs para detectar padrões suspeitos.

  • Gerenciamento de patches: Manter os sistemas atualizados e aplicar patches regularmente.

  • Ferramentas de monitoramento de rede: Implementar soluções de monitoramento de tráfego para detectar atividades de exfiltração de dados.


5. Indicadores de Comprometimento (IoC)

A seguir estão alguns indicadores de comprometimento (IoCs) identificados pela equipe de segurança:

  • Arquivos maliciosos:

    • IMG_135310824.exe (SHA256: 12bf973b503296da400fd6f9e3a4c688f14d56ce82ffcfa9edddd7e4b6b93ba9)

    • controlweb.exe (SHA256: aa09e9dca4994404a5f654be2a051c46f8799b0e987bcefef2b52412ac402105)

  • Domínios e IPs:

    • dnsresolver[.]online

    • apisolving[.]com

    • 192[.]227[.]190[.]127


6. Conclusão

A utilização do SingleCamper RAT em campanhas cibernéticas evidencia a sofisticação das operações russas contra a Ucrânia. Com a capacidade de persistir nos sistemas infectados, coletar informações críticas e executar comandos maliciosos, o SingleCamper representa uma séria ameaça à segurança cibernética. Para mitigar os impactos, é essencial adotar uma postura proativa de segurança, implementando medidas de proteção e monitoramento contínuo.


Referências:


2 visualizações0 comentário

Posts recentes

Ver tudo

Comments


bottom of page