针对乌克兰、波兰，UAT-5647黑客加速部署RomCom恶意软件

根据思科Talos报告，UAT-5647威胁行为者对乌克兰政府和波兰实体发起了一系列有针对性的攻击，部署臭名昭著的RomCom恶意软件变体。

E安全了解，UAT-5647因其与俄罗斯语系的敌对势力有关联而被人们所知。长期以来，UAT-5647一直以其多动机攻击而闻名，从间谍活动到勒索软件部署。

最近的攻击趋势表明，这个组织越来越注重建立长期访问权限来泄露敏感数据，然后再转向勒索软件操作。

思科Talos评估，“这一系列特定的攻击可能是UAT-5647双管齐下策略。“首先，泄露有价值的数据；其次，使用勒索软件作为破坏性和经济动机的后续行动。

该活动的核心是RomCom恶意软件变体，通过更新的感染链进行部署。

UAT-5647对其工具进行了重大升级，部署了四个不同的恶意软件系列：RustClaw、MeltingClaw（下载器）和两个名为DustyHammock（用Rust编写）、ShadyHammock（用C++编写）的后门。

这些恶意组件渗透系统，执行横向移动并建立持久访问。

根据该报告，RomCom恶意软件，也称为SingleCamper，通过ShadyHammock传递，ShadyHammock负责直接从Windows注册表加载和执行有效负载的后门。

这种隐蔽的传递机制使检测变得困难，因为恶意软件“直接从注册表加载到内存中，并使用环回地址与其加载程序通信”。

E安全了解到，该组织活动目标主要集中在乌克兰和波兰，主要针对政府机构和基础设施。攻击者在开始恶意活动前，会使用“键盘布局检查”验证系统是否使用波兰语、乌克兰语或俄语。

UAT-5647的感染链通常从鱼叉式网络钓鱼攻击开始，攻击会提供RustClaw或 MeltingClaw等下载器。这些下载程序建立持久性后，部署后门，使UAT-5647能够进行详细的网络侦察、破坏系统并泄露有价值的数据。

“DustyHammock是一个更直接的后门。”报告解释说，用于“与其命令和控制（C2）通信并执行恶意操作”，而ShadyHammock则执行更复杂的任务，比如管理SingleCamper这样的有效载荷。

进入网络后，UAT-5647会执行一系列活动来维持访问并逃避检测。该组织特别擅长使用PuTTY的Plink等合法工具建立远程隧道，这种技术允许他们“通过隧道将内部接口连接到外部远程主机”，从而有效地绕过标准安全措施。

在一个案例中，攻击者利用受损的TP-LINK无线G路由器将流量从受感染的网络转发到远程服务器。这使他们能够暴力破解或喷射密码、泄露配置数据并进一步破坏目标系统。

“最近几个月，UAT-5647加速了他们的攻击。”报告总结道，并敦促防御团队优先考虑主动检测和快速响应措施。