
Malware Brief: Ein Malware-Quartett arbeitet zusammen
In der heutigen Kurzdarstellung Malware Brief werfen wir einen kurzen Blick auf vier verschiedene Beispiele für Malware, die alle ungefähr zur gleichen Zeit aufgetaucht sind. Sie veranschaulichen die komplexe Kette von Bedrohungen, die gemeinsam eingesetzt werden, manchmal von verschiedenen Gruppen für unterschiedliche Zwecke.
In diesem Fall wurden alle vier – RomCom RAT, TransferLoader, MeltingClaw und DustyHammock – Anfang der 2020er Jahre nach der russischen Invasion in der Ukraine identifiziert. Sie wurden und werden von russischsprachigen Gruppen in großem Umfang gegen ukrainische, polnische und einige russische Ziele eingesetzt.
RomCom RAT
Typ: Remote Access Trojan (RAT)
Verbreitung: Phishing-Kampagnen, kompromittierte URLs, gefälschte Software-Downloads
Variante: SingleCamper
Erstmals identifiziert: 2022
Häufige Ziele: Vorwiegend gegen Ziele in der Ukraine eingesetzt
Bekannte Operatoren: TA829, UAT-5647
RomCom RAT wird von Bedrohungsakteuren verwendet, um eine Hintertür für die Fernsteuerung von Endpunktcomputern zu erstellen. Die mit Russland verbundene TA829-Gruppe nutzt diese und andere Instrumente zur Informationsbeschaffung sowie zum Finanzbetrug. Diese Gruppe nutzt in der Regel Schwachstellen in Mozilla Firefox und Microsoft Windows aus, um RomCom RAT zu verbreiten.
Sobald ein System mit RomCom RAT kompromittiert ist, fügt der Bedrohungsakteur in der Regel einen versteckten Loader wie TransferLoader oder SlipScreen ein. Diese werden dann verwendet, um Ransomware in das Zielsystem zu laden.
Es wurde ursprünglich hauptsächlich von russischsprachigen Gruppen gegen ukrainische und polnische Ziele eingesetzt, bevor es für Finanzdelikte angepasst wurde.
TransferLoader
Typ: Malware-Loader
Verbreitung: Phishing-Kampagnen mit Bezug zu Stellenbewerbungen, RAT-Angriff
Zuerst identifiziert: Februar 2025
Bekannter Betreiber: UNK_GreenSec, RomCom
TransderLoader kombiniert einen Downloader, eine Backdoor und einen Backdoor-Loader, um es Bedrohungsakteuren zu ermöglichen, Änderungen an kompromittierten Systemen vorzunehmen und Ransomware oder andere Malware einzufügen.
Es wurde erstmals entdeckt, als es zum Laden der Morpheus-Ransomware in das System einer amerikanischen Anwaltskanzlei verwendet wurde. Seitdem wurde es zum Einschleusen von Malware wie MeltingClaw und DustyHammer verwendet.
TransferLoader wurde für Tarnung entwickelt und verwendet eine Vielzahl von Techniken, um eine Entdeckung zu vermeiden. Beim Ausführen heruntergeladenen bösartigen Codes maskiert es seine Aktivität durch das Öffnen von Schein-PDF-Dateien.
MeltingClaw
Typ: Downloader
Variante: RustyClaw
Erstmals identifiziert: 2024
Bekannte Betreiber/Ersteller: RomCom – auch bekannt als Storm-0978, UAC-0180, Void Rabisu, UNC2596 und Tropical Scorpius
Fortgeschrittene Spear-Phishing-Kampagnen wurden verwendet, um die Downloader MeltingClaw und seinen Cousin RustyClaw zu verbreiten. Diese laden dann die Backdoors DustyHammock oder ShadyHammock herunter und installieren sie.
Diese heimlichen Hintertüren ermöglichen langfristigen Zugriff auf Zielsysteme, das Auffinden und Entwenden von Daten oder die Ausführung anderer bösartiger Aufgaben. Es wurde während der russischen Invasion für Spionage und Sabotage gegen Systeme in der Ukraine eingesetzt.
DustyHammock
Typ: Backdoor
Variante: ShadyHammock
Erstmals identifiziert: 2024
DustyHammock ist darauf ausgelegt, mit einem Command-and-Control-Server zu kommunizieren, erste Erkundungen auf Zielsystemen durchzuführen und Bedrohungsakteuren das Ausführen beliebiger Befehle sowie das Herunterladen und Platzieren bösartiger Dateien zu ermöglichen.
DustyHammock wurde entwickelt, um langfristigen Zugriff zu ermöglichen und gleichzeitig der Entdeckung zu entgehen. Es wurde für Datenexfiltration und Spionage sowie für Sabotage verwendet.

Der Ransomware Insights Bericht 2025
Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance
Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.