複数ライセンス割引見積
脅威データベース マルウェア シングルキャンパーRAT

シングルキャンパーRAT

マルウェア, 高度な持続的脅威 (APT), リモート管理ツールMezoまで
翻訳内容:
日本語

RomComとして知られるロシアの脅威アクターは、少なくとも2023年後半以降、ウクライナ政府機関と未知のポーランド組織を狙った新たな一連のサイバー攻撃に関連しているとされている。

この侵入は、SingleCamper (別名 SnipBot または RomCom 5.0) と呼ばれるRomCom RATの亜種の使用を特徴としています。情報セキュリティ研究者は、UAT-5647 という名前でこのアクティビティ クラスターを監視しています。このバージョンはレジストリから直接メモリにロードされ、ループバック アドレスを使用してローダーと通信します。

この脅威アクターは多数の攻撃キャンペーンを開始している

RomCom は、Storm-0978、Tropical Scorpius、UAC-0180、UNC2596、Void Rabisu などの別名でも知られ、2022 年に出現して以来、さまざまなサイバー活動に関与しています。これらの活動には、ランサムウェア攻撃、恐喝計画、資格情報の標的型収集などが含まれます。

最近の評価では、攻撃頻度が著しく増加していることが示されており、侵入されたネットワークへの長期的なアクセスを確立し、貴重なデータを抜き出すことに重点が置かれており、スパイ活動が目的であることが示唆されています。

これをサポートするために、RomCom はツールキットとインフラストラクチャを拡張し、C++ (ShadyHammock)、Rust (DustyHammock)、Go (GLUEEGG)、Lua (DROPCLUE) など、複数のプログラミング言語とプラットフォームを使用して構築された幅広いマルウェア コンポーネントを組み込んでいると報告されています。

標的を危険にさらすスピアフィッシング戦術

攻撃シーケンスは、C++ (MeltingClaw) または Rust (RustyClaw) で記述されたダウンローダーを配信するスピアフィッシング メールから始まります。このダウンローダーは、ShadyHammock および DustyHammock バックドアを展開する役割を担い、受信者には欺瞞を維持するためにおとり文書が表示されます。

DustyHammock は、コマンド アンド コントロール (C2) サーバーと通信し、任意のコマンドを実行し、そこからファイルをダウンロードするように設計されています。対照的に、ShadyHammock は、SingleCamper を起動し、受信コマンドを監視するためのプラットフォームとして機能します。

ShadyHammock には追加機能があるにもかかわらず、DustyHammock が 2024 年 9 月の攻撃で検出されているため、ShadyHammock は DustyHammock の前身であると考えられています。

SingleCamper RATは最新のイテレーションです

RomCom RAT の最新版である SingleCamper は、侵入後のさまざまなアクティビティを目的として設計されています。これらのアクティビティには、PuTTY から Plink ツールをダウンロードして敵対者が管理するインフラストラクチャとのリモート トンネルを作成すること、ネットワーク偵察を実行すること、横方向の移動を容易にすること、ユーザーとシステムを発見してデータを盗み出すことなどが含まれます。

ウクライナの著名な組織を狙ったこの一連の攻撃は、UAT-5647 の 2 つの戦略と一致しているようです。つまり、長期間のアクセスを確立してデータを抽出し、スパイ活動の目的をサポートすることと、ランサムウェアの展開に転じることで活動を妨害し、侵害から金銭的利益を得ることです。

さらに、マルウェアによって実行されたキーボード言語チェックからわかるように、ポーランドの組織も標的にされた可能性があります。

ウクライナは依然として高度なマルウェア攻撃の標的となっている

この発表は、ウクライナのコンピュータ緊急対応チーム(CERT-UA)が、UAC-0050として知られる脅威アクターによるサイバー攻撃について警告したことを受けて行われた。同アクターは、 Remcos RATSectopRAT、 Xeno RAT、Lumma Stealer、 Mars StealerMeduza Stealerなど、さまざまなマルウェアファミリーを使用して機密情報や資金を狙っている。

UAC-0050 の金融窃盗活動は、ウクライナの企業や個人起業家から資金を盗むことに重点を置いています。これは、Remcos や TEKTONITRMS などのリモート コントロール ツールを使用して会計士のコンピューターに不正アクセスすることで実現されます。

2024年9月から10月にかけて、UAC-0050は少なくとも30件の同様の攻撃を実行し、リモートバンキングシステムを通じて数万から数百万UAHに及ぶ偽の金融取引を作成しました。

さらに、CERT-UA は、特別なソフトウェアをインストールするように見せかけて Meduza Stealer マルウェアを展開することを目的として、Telegram メッセージング プラットフォーム上の @reserveplusbot アカウントを介して不正なメッセージを拡散する試みを観察したと報告しています。

別名n

2のセキュリティベンダーがこのファイルに悪意のあるものとしてフラグを付けました。

ウイルス対策ソフト 検出
- RomCom 5.0
- SnipBot

トレンド

DennisTheHitman ランサムウェア

ランサムウェア
デジタル脅威が高度化して隠蔽される時代において、デバイスをマルウェアの脅威から保護することは、これまで以上に重要です。最近の特に攻撃的な脅威の 1 つである DennisTheHitman ランサムウェアは、主に企業を標的とし、重要なデータを人質に取るという、データ暗号化技術と二重の脅迫戦術で悪名高い存在となっています。この脅威の仕組みを理解し、基本的なサイバーセキュリティ対策を実施すること...

Sincenturypro.pro

ブラウザハイジャッカー
アダルトエンターテインメントや他の怪しいコンテンツをオンラインで探しているユーザーは、Sincenturypro.pro Webサイトにアクセスする可能性があります。この偽のページは、ユーザーが探している興味深いコンテンツをホストしているように見え、サイトを開くように誘います。ただし、Sincenturypro.proサイトは、閲覧する価値のあるコンテンツをホストしていないのでご安心ください...

MacBookが充電されない

問題
Macの充電が停止する原因はたくさんあります。これらには、接続の切断または障害、さまざまなハードウェアの問題、バッテリーが危険な状態に達する、システム全体が過熱するなどが含まれます。根本的な問題が何であるかを判断し、それを修正するのに役立つ可能性のあるいくつかの簡単な修正を試すには、以下のガイドラインに従ってください。 物理的な問題を探す 基本から始めることは常に良い考えです。電源ケーブルの...

最も見られました

画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
80,831
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Msedge.exeとは何ですか?

問題
65,221
一部の Windows ユーザーは、システムのバックグラウンドで「msedge.exe」という名前のプロセスがアクティブになっていることに気付く場合があります。通常、この特定のプロセスは Microsoft Edge ブラウザーの一部であるため、心配する必要はありません。 msedge.exe アプリケーションがシステムの CPU または RAM リソースを大量に消費している場合でも、ブラウ...

「プリンタドライバが利用できません」エラーを修正する方法

問題
63,634
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
読み込んでいます...