针对乌克兰、波兰,UAT-5647黑客加速部署RomCom恶意软件
根据思科Talos报告,UAT-5647威胁行为者对乌克兰政府和波兰实体发起了一系列有针对性的攻击,部署臭名昭著的RomCom恶意软件变体。
E安全了解,UAT-5647因其与俄罗斯语系的敌对势力有关联而被人们所知。长期以来,UAT-5647一直以其多动机攻击而闻名,从间谍活动到勒索软件部署。
最近的攻击趋势表明,这个组织越来越注重建立长期访问权限来泄露敏感数据,然后再转向勒索软件操作。
思科Talos评估,“这一系列特定的攻击可能是UAT-5647双管齐下策略。“首先,泄露有价值的数据;其次,使用勒索软件作为破坏性和经济动机的后续行动。
该活动的核心是RomCom恶意软件变体,通过更新的感染链进行部署。
UAT-5647对其工具进行了重大升级,部署了四个不同的恶意软件系列:RustClaw、MeltingClaw(下载器)和两个名为DustyHammock(用Rust编写)、ShadyHammock(用C++编写)的后门。
这些恶意组件渗透系统,执行横向移动并建立持久访问。
根据该报告,RomCom恶意软件,也称为SingleCamper,通过ShadyHammock传递,ShadyHammock负责直接从Windows注册表加载和执行有效负载的后门。
这种隐蔽的传递机制使检测变得困难,因为恶意软件“直接从注册表加载到内存中,并使用环回地址与其加载程序通信”。
E安全了解到,该组织活动目标主要集中在乌克兰和波兰,主要针对政府机构和基础设施。攻击者在开始恶意活动前,会使用“键盘布局检查”验证系统是否使用波兰语、乌克兰语或俄语。
UAT-5647的感染链通常从鱼叉式网络钓鱼攻击开始,攻击会提供RustClaw或 MeltingClaw等下载器。这些下载程序建立持久性后,部署后门,使UAT-5647能够进行详细的网络侦察、破坏系统并泄露有价值的数据。
“DustyHammock是一个更直接的后门。”报告解释说,用于“与其命令和控制(C2)通信并执行恶意操作”,而ShadyHammock则执行更复杂的任务,比如管理SingleCamper这样的有效载荷。
进入网络后,UAT-5647会执行一系列活动来维持访问并逃避检测。该组织特别擅长使用PuTTY的Plink等合法工具建立远程隧道,这种技术允许他们“通过隧道将内部接口连接到外部远程主机”,从而有效地绕过标准安全措施。
在一个案例中,攻击者利用受损的TP-LINK无线G路由器将流量从受感染的网络转发到远程服务器。这使他们能够暴力破解或喷射密码、泄露配置数据并进一步破坏目标系统。
“最近几个月,UAT-5647加速了他们的攻击。”报告总结道,并敦促防御团队优先考虑主动检测和快速响应措施。
2024.10.16
2024.10.18
报告 | Google Play超200款恶意应用程序,累计下载800百万次
2024.10.17
注:本文由E安全编译报道,转载请联系授权并注明来源。