大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
在全球网络安全形势愈发严峻的背景下,近期报告显示,与俄罗斯相关的黑客组织RomCom(又称UAT-5647、Storm-0978等)自2023年底以来,对乌克兰政府机构及波兰实体展开了一系列新的网络攻击。这一消息令网络安全界高度警惕。
RomCom的攻击手法
根据Cisco Talos的研究,RomCom此次攻击使用了更新版本的RomCom RAT,名为SingleCamper。该恶意软件直接从注册表加载到内存中,并通过回环地址与其加载器进行通信。此外,攻击者还使用了两种新的下载器RustClaw和MeltingClaw,以及两个后门DustyHammock(基于Rust)和ShadyHammock(基于C++)。
RomCom过去主要进行勒索软件攻击和网络间谍活动,但现在其攻击重点转向从乌克兰目标中窃取数据。该组织利用多种工具和恶意软件语言(如GoLang、C++、Rust、Lua)来建立长期访问权限,以便进行间谍活动,随后可能进行勒索软件的部署以实现破坏和盈利。
攻击链及其运作方式
报告指出,RomCom的攻击链始于针对特定目标的网络钓鱼信息,下载器分为两种变体:RustyClaw(基于Rust的下载器)和MeltingClaw(基于C++的变体)。下载器为两个不同的后门DustyHammock和ShadyHammock提供持久性。
DustyHammock作为主要后门,负责与指挥与控制(C2)服务器的通信。
ShadyHammock则加载SingleCamper恶意软件,能够接收其他恶意组件的命令。
一旦完成初步的网络侦察,RomCom还利用PuTTY的Plink工具创建远程隧道,将目标终端与攻击者控制的服务器连接起来。
应对网络威胁的必要性
SingleCamper恶意软件通过向C2服务器发送系统信息注册感染,执行侦察命令,能够下载额外工具、窃取文件或管理感染。这一系列复杂的攻击手法让RomCom成为当前网络安全领域的一大隐患。
推荐阅读:知识星球连载创作"全球高级持续威胁:网络世界的隐形战争",总共26章,相信能够为你带来不一样的世界认知,欢迎感兴趣的朋友加入沟通交流。
欢迎喜欢文章的朋友点赞、转发、赞赏,你的每一次鼓励,都是我继续前进的动力。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...