Cybersecurity-onderzoekers hebben licht geworpen op een Russisch sprekende cyberspionagegroep genaamd Nebulous Mantis die sinds medio 2022 een externe toegang Trojan genaamd Romcom Rat heeft ingezet.
Romcom “maakt gebruik van geavanceerde ontwijkingstechnieken, waaronder Living-off-the-Land (LOTL) tactiek en gecodeerde commando- en controle (C2) communicatie, terwijl hij continu zijn infrastructuur ontwikkelt-het gebruik van kogelvrije hosting om persistentie te handhaven en detectie te behouden,” Swiss Cybersecurity Company Procaft zei in een rapport van het hackersnieuws.
Nebulous Mantis, ook gevolgd door de cybersecurity-gemeenschap onder de namen Sigar, Cuba, Storm-0978, Tropical Scorpius, UNC2596 en nietig Rabisu, is bekend dat het zich richt op kritieke infrastructuur, overheidsinstanties, politieke leiders en NAVO-gerelateerde defensieorganisaties.
Aanvalsketens die door de groep zijn gemonteerd, omvatten meestal het gebruik van speer-phishing-e-mails met bewapende document links om Romcom Rat te distribueren. De domeinen en command-and-control (C2) -servers die in deze campagnes worden gebruikt, zijn georganiseerd op Bulletproof Hosting (BPH) -services zoals Luxhost en Aeza. De infrastructuur wordt beheerd en verkregen door een dreigingsacteur genaamd Larve-290.
De dreigingsacteur wordt sinds minstens medio 2019 als actief beoordeeld, met eerdere herhalingen van de campagne die een malware-lader-codenaam hancitor levert.
De eerste fase ROMCOM DLL is ontworpen om verbinding te maken met een C2-server en extra payloads te downloaden met behulp van het Interplanetary File System (IPFS) gehost op aanvaller-gecontroleerde domeinen, commando’s uitvoeren op de geïnfecteerde host en de laatste fase C ++ malware uit te voeren.
De uiteindelijke variant stelt ook communicatie op met de C2 -server om opdrachten uit te voeren, evenals het downloaden en uitvoeren van meer modules die gegevens van webbrowserkers kunnen stelen.
“De dreigingsacteur voert de tzutil -opdracht uit om de geconfigureerde tijdzone van het systeem te identificeren,” zei PRODAFT. “Deze ontdekking van het systeeminformatie onthult de geografische en operationele context die kan worden gebruikt om aanvalsactiviteiten af te stemmen met slachtofferwerkuren of om bepaalde op tijd gebaseerde beveiligingscontroles te ontwijken.”
Romcom is, naast het manipuleren van Windows -register om persistentie in te stellen met behulp van com kaping, uitgerust om referenties te oogsten, systeemverkenning uit te voeren, actieve directory op te sommen, laterale beweging uit te voeren en gegevens van interesse te verzamelen, inclusief bestanden, referenties, configuratiegegevens en Microsoft Outlook -back -ups.
Romcom-varianten en slachtoffers worden beheerd door middel van een speciaal C2-paneel, waardoor de operators apparaatdetails kunnen bekijken en meer dan 40 opdrachten op afstand kunnen geven om verschillende taken voor het verzamelen van gegevens uit te voeren.
“Nebulous Mantis werkt als een geavanceerde bedreigingsgroep die een meerfase-inbreukmethode gebruikt om initiële toegang, uitvoering, persistentie en gegevensuitvoer te krijgen,” zei het bedrijf.
“Gedurende de aanvalslevenscyclus vertoont vage Mantis een operationele discipline bij het minimaliseren van hun voetafdruk, zorgvuldig een evenwicht tussen agressieve inlichtingencollectie met stealth-eisen, wat suggereert dat door de staat gesponsorde steun of professionele cybercriminale organisatie met aanzienlijke middelen.”
De openbaarmaking komt weken na het blootstellen van een ransomware-groep met de naam Ruthless Mantis (AKA PTI-288) die gespecialiseerd is in dubbele afpersing door samen te werken met aangesloten programma’s, zoals Ragnar Locker, Inc-losgeld en anderen.
Geleid door een dreigingsacteur genaamd larve-127, gebruikt de financieel gemotiveerde dreigingsacteur een reeks legitieme en aangepaste hulpmiddelen om elke fase van de aanvalscyclus te vergemakkelijken: ontdekking, doorzettingsvermogen, privilege-escalatie, afwijking, de oogst van de dinsdentie, laterale beweging en C2-frameworks zoals Brute Ratel C4 en Ragnar Lower.
“Hoewel meedogenloze bidder Mantis bestaat uit zeer ervaren kernleden, integreren ze ook actief nieuwkomers om de effectiviteit en snelheid van hun activiteiten voortdurend te verbeteren,” zei het.
“Ruthless Mantis heeft zijn arsenaal aan tools en methoden aanzienlijk uitgebreid, waardoor ze state-of-the-art middelen krijgen om processen te stroomlijnen en de operationele efficiëntie te stimuleren.”
