详细内容或原文请订阅后点击阅览
与俄罗斯有关的 RomCom 组织自 2023 年底以来一直针对乌克兰政府机构
自 2023 年底以来,与俄罗斯有关的威胁行为者 RomCom 在网络攻击中针对乌克兰政府机构和波兰实体。思科 Talos 研究人员观察到,自至少 2023 年底以来,与俄罗斯有关的威胁行为者 RomCom(又名 UAT-5647、Storm-0978、Tropical Scorpius、UAC-0180、UNC2596)在新一波攻击中针对乌克兰政府机构和波兰实体。在最近的袭击中,RomCom […]
来源:Security Affairs _恶意软件俄罗斯与俄罗斯的ROMCOM集团自2023年底以来针对乌克兰政府机构
自2023年底以来,俄罗斯与俄罗斯的威胁行为者Romcom针对乌克兰政府机构和波兰实体。
思科talos研究人员观察到俄罗斯与俄罗斯与威胁参与者ROMCOM(又名UAT-5647,Storm-0978,Tropical Scorpius,UAC-0180,UNC2596),针对乌克兰政府机构和波兰实体,至少在2023年代后期,是袭击的新浪潮。
romcom UAT-5647 Storm-0978 热带天蝎座 UNC2596在最近的攻击中,ROMCOM部署了称为“ Singlecamper”的Romcom Rat的更新变体。单链球机直接从注册表中加载到内存中,并依靠回环地址与其加载程序进行通信。威胁参与者还雇用了两个新的下载者,称为Rustclaw和Meltingclaw,以及两个后门Dustyhammock(基于Rust)和基于C ++的Shadyhammock。
ROMCOM RAT过去,Romcom发起了勒索软件攻击和网络间谍活动,但是,它正在加强攻击,重点是乌克兰目标的数据剥离。该小组使用多种工具和恶意软件语言(Golang,C ++,Rust,Lua)来建立间谍活动的长期访问,然后可能是勒索软件部署以进行中断和利润。基于恶意软件语言检查,波兰实体也可能是针对目标的。
“感染链由一条长矛示威消息组成,该消息传递了一个由两个变体中的任何一个组成的下载器:“ Rustyclaw”(一个基于Rust的下载器),以及一个基于C ++的变体我们跟踪为“ Meltingclaw”。阅读Talos发布的报告。 “下载者为两个不同的后门腾出了毅力,分别为“ Dustyhammock”和“ Shadyhammock”。”
报告dustyhammock是C2通信的主要后门,而Shadyhammock则加载了单块恶意软件,并可以从其他恶意组件中接收命令。
该报告包括有关Romcom武器库的详细信息,Talos还为此威胁共享了IOC。
iocs Facebook ( -