Nel contesto delle crescenti tensioni geopolitiche, la sicurezza informatica è diventata un campo di battaglia strategico. Un esempio recente è rappresentato dagli attacchi informatici condotti dal gruppo russo noto come RomCom, che ha preso di mira le agenzie governative ucraine e alcune entità polacche. Questi attacchi fanno uso di una variante del malware RomCom RAT, denominata SingleCamper. Secondo i ricercatori di Cisco Talos, questa variante viene caricata direttamente dalla memoria del registro di sistema e comunica tramite un indirizzo di loopback con il suo loader, dimostrando una sofisticazione tecnica significativa.

Operazioni di RomCom

RomCom, che viene anche monitorato con altri nomi come Storm-0978 e Tropical Scorpius, è attivo dal 2022 e ha condotto operazioni di vario tipo, tra cui ransomware e raccolta di credenziali mirate. Negli ultimi mesi, il ritmo delle loro operazioni è aumentato, suggerendo un obiettivo di spionaggio a lungo termine. Il gruppo è noto per espandere aggressivamente i suoi strumenti e la sua infrastruttura, supportando una vasta gamma di componenti malware scritti in linguaggi diversi come C++, Rust, Go e Lua. La catena di attacco inizia con un messaggio di spear-phishing che consegna un downloader, codificato in C++ o Rust, che a sua volta distribuisce i backdoor ShadyHammock e DustyHammock. Mentre DustyHammock è progettato per contattare un server di comando e controllo e scaricare file, ShadyHammock funge da piattaforma di lancio per SingleCamper e ascolta i comandi in arrivo.

Attività di SingleCamper

SingleCamper è responsabile di una serie di attività post-compromissione, tra cui il download dello strumento PuTTY's Plink per stabilire tunnel remoti con infrastrutture controllate dall'avversario, la ricognizione di rete, il movimento laterale e l'esfiltrazione di dati. Questi attacchi mirati alle entità ucraine di alto profilo sembrano servire una strategia a due punte: stabilire un accesso a lungo termine per esfiltrare dati e, successivamente, implementare ransomware per interrompere e potenzialmente trarre profitto dalla compromissione.

Altre minacce in Ucraina

In parallelo, il team di risposta alle emergenze informatiche dell'Ucraina (CERT-UA) ha avvertito di attacchi informatici da parte di un attore chiamato UAC-0050, il cui obiettivo principale è il furto di fondi e informazioni sensibili utilizzando varie famiglie di malware. Questi attacchi evidenziano la crescente complessità e il coordinamento delle minacce informatiche nell'area.