Кибергруппировка RomCom: от регионального шпионажа к глобальным гибридным атакам

В июле 2025 года RomCom использовала уязвимость CVE-2025-8088 в архиваторе WinRAR, которая получила 8.4 балла по шкале CVSS. Эта уязвимость типа path traversal позволяла злоумышленникам получать несанкционированный доступ к системам. Атаки были нацелены на финансовый, производственный, оборонный и логистический секторы в Европе и Канаде через целевые фишинговые письма, маскирующиеся под заявки о приеме на работу. Зловредное программное обеспечение включало бэкдоры SnipBot, RustyClaw и Mythic Agent.

Эволюция целей и географии атак демонстрирует трансформацию группировки. В 2022 году RomCom преимущественно атаковала Украину, Польшу и соседние регионы. К 2023-2024 годам география расширилась до оборонных и правительственных организаций по всей Европе и Северной Америке, где использовались фишинговые приманки с упоминанием НАТО или украинской политики.

В 2025 году группировка активно переключилась на частный сектор. Операция Deceptive Prospect в начале года была нацелена на розничную торговлю, гостиничный бизнес и критическую инфраструктуру Великобритании. Последующие кампании затронули финансовые, оборонные, логистические и производственные организации в Европе и Канаде. Этот сдвиг иллюстрирует способность RomCom чередовать долгосрочный шпионаж против государственных учреждений и ориентированные на monetization операции против предприятий.

Методики группировки охватывают всю цепочку атаки, сочетая социальную инженерию, эксплуатацию уязвимостей нулевого дня и пользовательское вредоносное программное обеспечение с мощными практиками уклонения от обнаружения. Первоначальный доступ обычно достигается через целевой фишинг с использованием приманок - персонализированных писем с вредоносными вложениями или ссылками. Типичные приманки включают резюме или счета-фактуры в формате PDF, которые либо содержат загрузчик, либо запускают троянизированный исполняемый файл, одновременно показывая пользователю безвредную подставную программу.

RomCom выделяется среди других угроз повторным использованием неопубликованных уязвимостей, что редко встречается за пределами продвинутых APT-групп. В июне 2023 года группировка использовала CVE-2023-36884 в Microsoft Word, в октябре-ноябре 2024 года - цепочку CVE-2024-9680 в Firefox/Thunderbird и CVE-2024-49039 в Windows, а в июле 2025 года - CVE-2025-8088 в WinRAR. Три различные уязвимости нулевого дня за три года свидетельствуют либо о внутреннем конвейере разработки эксплойтов, либо о привилегированном доступе к брокерам эксплойтов.

Ключевым элементом инфраструктуры RomCom стал загрузчик SlipScreen, написанный на Rust и C++, который использует передовые стратегии уклонения от обнаружения. Программа проверяет реестр Windows на наличие как минимум 55 недавно открытых документов, чтобы убедиться, что она работает в среде с пользовательской активностью, тем самым избегая песочниц. Если порог не достигнут, SlipScreen останавливает выполнение. После проверки окружения загрузчик расшифровывает и загружает shellcode непосредственно в память, что позволяет избежать записи на диск и обнаружения файловыми методами защиты.

Для обеспечения устойчивости SlipScreen использует COM hijacking - технику, при которой регистрируются вредоносные DLL для автоматической загрузки системными процессами при перезагрузке системы или перезапуске explorer.exe. Это значительно усложняет обнаружение вредоносной активности.

Арсенал группировки включает DustyHammock и ShadyHammock - комплементарные бэкдоры, используемые для устойчивости и скрытности. DustyHammock, написанный на Rust, служит основным бэкдором для долгосрочной коммуникации с командным сервером и удаленного выполнения команд. ShadyHammock, компонент на C++, специализируется на скрытности, загружая основной полезный груз - XOR-encoded SingleCamper RAT DLL - непосредственно из реестра Windows в память, минимизируя индикаторы на диске.

SnipBot, также известный как RomCom 5.0 или SingleCamper, представляет собой высокоразвитый троян удаленного доступа, центральный для шпионских операций группировки. Его основной защитной мерой является пользовательское продвинутое обфускация кода, уникальный алгоритм обфускации потока управления на основе window message. Эта техника разделяет логику выполнения вредоносной программы на многочисленные неупорядоченные блоки, активируемые только пользовательскими сообщениями Windows, создавая высоко сложную и нелинейную структуру, которая эффективно противодействует автоматическим песочницам и инструментам статического анализа.

После получения устойчивости RomCom переходит к пост-эксплуатации, которая может включать либо шпионаж, либо нарушение работы. Группировка крадет учетные данные через дампинг SAM hive для повышения привилегий и углубления доступа к системе, перемещается по сети с помощью инструментов вроде Impacket's SMBExec и WMIExec, а также собирает информацию о системе с помощью systeminfo, nltest и пользовательских инструментов. Результатом может быть как скрытая эксфильтрация конфиденциальных документов и разведданных, часто согласованных с целями государственного шпионажа, так и развертывание ransomware, такого как Industrial Spy, Underground и Cuba, в кампаниях двойного шантажа, требующих выкуп и угрожающих публичной утечкой данных.

К 2024-2025 годам RomCom полностью воплотила свою гибридную природу, проводя параллельные кампании: длительный шпионаж против государственных структур и ориентированные на monetization нарушения против предприятий. Группировка инвестировала в расширяющийся арсенал вредоносного программного обеспечения, включая MeltingClaw/RustyClaw - фишинговые загрузчики, представленные в 2024 году, и усовершенствованные версии своих основных инструментов.

Исследователи выявили пересечение деятельности RomCom с группой UNK_GreenSec, включая общее использование загрузчика TransferLoader и скомпрометированных маршрутизаторов MikroTik, запускающих REM Proxy для фишингового трафика. Группировка также поддерживает тесные связи с операторами Cuba ransomware, разделяя инфраструктуру и методы доставки полезной нагрузки.

URLs

• https://gdrive-share.online/workgroup/docs/c0fTJ

SHA256

• 5b30a5b71ef795e07c91b7a43b3c1113894a82ddffc212a2fa71eebc078f5118