Malware Brief: un quartetto di malware che lavora in sinergia

Nel Malware Brief di oggi daremo una rapida occhiata a quattro diversi esempi di malware, tutti emersi all'incirca nello stesso periodo. Dimostrano la complessa catena di minacce utilizzate insieme, a volte da gruppi diversi, per scopi disparati.

In questo caso, tutti e quattro (RomCom RAT, TransferLoader, MeltingClaw e DustyHammock) sono stati identificati all'inizio degli anni 2020 in seguito all'invasione russa dell'Ucraina. Sono stati, e continuano ad essere, ampiamente utilizzati da gruppi di lingua russa contro obiettivi ucraini, polacchi e alcuni russi.

RomCom RAT

Tipo: Trojan di accesso remoto (RAT)

Distribuzione: Campagne di phishing, URL compromessi, download di software falsi

Variante: SingleCamper

Identificato per la prima volta: 2022

Obiettivi comuni: distribuito principalmente contro obiettivi in Ucraina

Operatori noti: TA829, UAT-5647

RomCom RAT viene utilizzato dagli attori delle minacce al fine di creare una backdoor per il controllo remoto dei computer endpoint. Il gruppo TA829, collegato alla Russia, utilizza questo e altri strumenti per la raccolta di informazioni e per le frodi finanziarie. Questo gruppo in genere sfrutta le vulnerabilità di Mozilla Firefox e Microsoft Windows per diffondere RomCom RAT.

Una volta che un sistema viene compromesso con RomCom RAT, l'attore della minaccia in genere vi inserisce un caricatore invisibile come TransferLoader o SlipScreen. Questi vengono poi utilizzati per caricare il ransomware nel sistema di destinazione.

Inizialmente è stato utilizzato principalmente contro obiettivi ucraini e polacchi da gruppi di lingua russa, prima di essere adattato ai reati finanziari.

TransferLoader

Tipo: caricatore di malware

Distribuzione: campagne di phishing a tema candidature di lavoro, compromissione RAT

Identificato per la prima volta: febbraio 2025

Operatore noto: UNK_GreenSec, RomCom

TransderLoader combina un downloader, una backdoor e un backdoor loader per consentire agli attori delle minacce di apportare modifiche ai sistemi compromessi e inserire ransomware o altro malware.

È stato scoperto per la prima volta in occasione del suo utilizzo per caricare il ransomware Morpheus nel sistema di uno studio legale americano. Da allora è stato utilizzato per rilasciare malware come MeltingClaw e DustyHammer.

TransferLoader è stato progettato per agire in modo furtivo, utilizzando diverse tecniche per evitare il rilevamento. Quando esegue il codice dannoso scaricato, maschera la sua attività aprendo file PDF esca.

MeltingClaw

Tipo: Downloader

Variante: RustyClaw

Identificato per la prima volta: 2024

Operatori/creatori noti: RomCom — noto anche come Storm-0978, UAC-0180, Void Rabisu, UNC2596 e Tropical Scorpius

Sono state utilizzate campagne di spear-phishing avanzate per consegnare i downloader MeltingClaw e il suo cugino RustyClaw, che procedono quindi al download e all'installazione delle backdoor DustyHammock o ShadyHammock.

Queste backdoor invisibili consentono l'accesso a lungo termine ai sistemi di destinazione, individuando ed esfiltrando dati o eseguendo altre attività dannose. È stato usato per spionaggio e sabotaggio contro i sistemi in Ucraina durante l'invasione russa.

DustyHammock

Tipo: Backdoor

Variante: ShadyHammock

Identificato per la prima volta: 2024

DustyHammock è progettato per comunicare con un server di comando e controllo, eseguire una ricognizione iniziale su sistemi mirati e consentire agli attori delle minacce di eseguire comandi arbitrari e scaricare e inserire file dannosi.

Pensato per consentire l'accesso a lungo termine evitando il rilevamento, DustyHammock è stato utilizzato per l'esfiltrazione di dati e lo spionaggio, oltre che per il sabotaggio.