UAT-5647: квартет хакеров взламывает госструктуры Украины изнутри

RutoR

Support81

Original poster
Administrator
Сообщения
1 020
Реакции
203
Посетить сайт
Новый арсенал группы плетёт сеть кибершпионажа в Восточной Европе.
uat.jpg


Специалисты

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

новую волну атак группы UAT-5647 (RomCom), которая нацелена на госструктуры Украины и неназванные польские организации с конца 2023 года.

Последняя кампания включает обновленную версию вредоносного ПО

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

под названием SingleCamper. Программа загружается напрямую из реестра в оперативную память и использует

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

для связи с загрузчиком. Инструментарий группы UAT-5647 значительно расширился и включает четыре семейства вредоносных программ: два загрузчика и два бэкдора.

Хакеры активно используют методы проникновения в пограничные устройства, перенаправляя трафик с внутренних интерфейсов на удаленные сервера, что усложняет процесс обнаружения угроз в ходе реагирования на инциденты. В ходе атак UAT-5647 стремится обеспечить долгосрочный доступ к целевым системам для кражи данных, а затем может перейти к использованию программ-вымогателей для получения финансовой выгоды.

Тактика и методики атак

Основной метод заражения — фишинговые сообщения, содержащие загрузчики RustClaw или MeltingClaw, которые обеспечивают установку бэкдоров DustyHammock (Rust) и ShadyHammock (C++). DustyHammock выполняет команды с командного центра, а ShadyHammock активирует вредоносные компоненты и может получать команды через локальные интерфейсы.

После проникновения в сеть, злоумышленники проводят рекогносцировку, используя инструменты вроде PuTTY Plink для создания туннелей между внутренними интерфейсами и внешними серверами. Подобная тактика позволяет хакерам избегать обнаружения и получить доступ к конфиденциальной информации и настройкам сетевых устройств, например, маршрутизаторам TP-LINK.

Группа активно использует сканирования портов и команды для анализа системной информации и сетевых подключений. На целевых устройствах запускаются команды для выявления открытых портов и ресурсов, таких как «net view» и «ping», что позволяет получить доступ к общим папкам и важной информации.

Углубленный анализ вредоносных программ

В новой цепочке атак UAT-5647 делает ставку на использование различных языков программирования, включая GoLang, C++, Rust и LUA, для создания мультифункциональных вредоносных компонентов. Вредоносные программы предназначены для сбора данных, загрузки дополнительных файлов и активации PuTTY Plink для дальнейшего распространения по сети.

Среди особенностей можно выделить способность SingleCamper отправлять команды своему загрузчику ShadyHammock через локальный интерфейс, что позволяет удаленно управлять зараженной системой и выполнять команды на уровне системы без взаимодействия с внешними серверами.

Атаки UAT-5647 продолжаются, и аналитики Talos прогнозируют, что группа будет усиливать деятельность с целью получения долгосрочного доступа и кражи данных, одновременно продолжая использовать программы-вымогатели для дестабилизации инфраструктуры и получения прибыли.
Подробнее:

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

 
Русскоязычный Даркнет Форум