Un gruppo di cyber spionaggio di lingua russa, noto come Nebulous Mantis, è stato recentemente messo sotto i riflettori dai ricercatori di cybersecurity. Questo gruppo ha distribuito un trojan di accesso remoto chiamato RomCom RAT a partire dalla metà del 2022. Secondo un rapporto della società svizzera di cybersecurity PRODAFT, condiviso con The Hacker News, RomCom utilizza tecniche avanzate di evasione, tra cui tattiche di “living-off-the-land” (LOTL) e comunicazioni di comando e controllo (C2) crittografate, evolvendo continuamente la sua infrastruttura grazie all’uso di hosting a prova di proiettile per mantenere la persistenza ed evitare il rilevamento.
obiettivi e metodi di attacco di nebulous mantis
Nebulous Mantis, noto anche con i nomi CIGAR, Cuba, Storm-0978, Tropical Scorpius, UNC2596 e Void Rabisu, prende di mira infrastrutture critiche, agenzie governative, leader politici e organizzazioni di difesa legate alla NATO. Le catene di attacco messe in atto dal gruppo coinvolgono tipicamente l’uso di email di spear-phishing con link a documenti armati per distribuire RomCom RAT. I domini e i server di comando e controllo (C2) utilizzati in queste campagne sono stati ospitati su servizi di hosting a prova di proiettile come LuxHost e Aeza. L’infrastruttura è gestita e procurata da un attore di minaccia chiamato LARVA-290.
evoluzione e tecniche di attacco di romcom rat
Attivo almeno dalla metà del 2019, l’attore di minaccia ha inizialmente distribuito un caricatore di malware chiamato Hancitor. La DLL di prima fase di RomCom è progettata per connettersi a un server C2 e scaricare payload aggiuntivi utilizzando il sistema di file interplanetario (IPFS) ospitato su domini controllati dagli attaccanti, eseguire comandi sull’host infetto ed eseguire il malware finale in C++. La variante finale stabilisce anche comunicazioni con il server C2 per eseguire comandi, nonché scaricare ed eseguire ulteriori moduli che possono rubare dati dai browser web.
tecniche di persistenza e raccolta dati
RomCom, oltre a manipolare il Registro di Windows per impostare la persistenza utilizzando il dirottamento COM, è equipaggiato per raccogliere credenziali, eseguire ricognizioni di sistema, enumerare Active Directory, condurre movimenti laterali e raccogliere dati di interesse, inclusi file, credenziali, dettagli di configurazione e backup di Microsoft Outlook. Le varianti di RomCom e le vittime sono gestite tramite un pannello C2 dedicato, che consente agli operatori di visualizzare i dettagli dei dispositivi e inviare oltre 40 comandi da remoto per eseguire una varietà di attività di raccolta dati.
metodologia di intrusione e disciplina operativa
Nebulous Mantis opera come un gruppo di minaccia sofisticato che impiega una metodologia di intrusione a più fasi per ottenere accesso iniziale, esecuzione, persistenza ed esfiltrazione dei dati. Durante l’intero ciclo di attacco, Nebulous Mantis dimostra disciplina operativa nel minimizzare la propria impronta, bilanciando attentamente la raccolta aggressiva di intelligence con i requisiti di stealth.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!