Nebulous Mantis atacam diversas entidades ligadas a OTAN

Pesquisadores de segurança cibernética revelaram as atividades de um grupo de espionagem cibernética de língua russa chamado Nebulous Mantis, que tem utilizado um trojan de acesso remoto (RAT) denominado RomCom RAT desde meados de 2022.

De acordo com um relatório da empresa suíça de segurança cibernética PRODAFT, compartilhado com o The Hacker News, o RomCom emprega "técnicas avançadas de evasão, incluindo táticas de 'living-off-the-land' (LOTL) e comunicações de comando e controle (C2) criptografadas, enquanto evolui continuamente sua infraestrutura – aproveitando hospedagem 'bulletproof' para manter a persistência e evitar a detecção".

O Nebulous Mantis, também rastreado pela comunidade de segurança cibernética sob os nomes CIGAR, Cuba, Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 e Void Rabisu, é conhecido por visar infraestruturas críticas, agências governamentais, líderes políticos e organizações de defesa relacionadas à OTAN.

As cadeias de ataque montadas pelo grupo geralmente envolvem o uso de e-mails de spear-phishing com links para documentos maliciosos para distribuir o RomCom RAT. Os domínios e servidores de comando e controle (C2) utilizados nessas campanhas foram hospedados em serviços de hospedagem "bulletproof" como LuxHost e Aeza.

A infraestrutura é gerenciada e adquirida por um invasor identificado como LARVA-290, cuja atividade remonta pelo menos a meados de 2019, com versões anteriores da campanha distribuindo um carregador de malware com o codinome Hancitor. O DLL RomCom de primeiro estágio é projetado para se conectar a um servidor C2 e baixar payloads adicionais usando o Sistema de Arquivos Interplanetário (IPFS) hospedado em domínios controlados pelos invasores, executar comandos no host infectado e executar o malware C++ de estágio final.

A variante final também estabelece comunicação com o servidor C2 para executar comandos, bem como baixar e executar mais módulos capazes de roubar dados de navegadores da web. "O invasor executa o comando tzutil para identificar o fuso horário configurado do sistema", explicou a PRODAFT.

"Essa descoberta de informações do sistema revela o contexto geográfico e operacional que pode ser usado para alinhar as atividades de ataque com o horário de trabalho da vítima ou para evitar certos controles de segurança baseados em tempo."

O RomCom, além de manipular o Registro do Windows para configurar a persistência usando o sequestro de COM, está equipado para coletar credenciais, realizar reconhecimento do sistema, enumerar o Active Directory, conduzir movimento lateral e coletar dados de interesse, incluindo arquivos, credenciais, detalhes de configuração e backups do Microsoft Outlook.

As variantes e vítimas do RomCom são gerenciadas por meio de um painel C2 dedicado, permitindo que os operadores visualizem detalhes do dispositivo e emitam mais de 40 comandos remotamente para realizar uma variedade de tarefas de coleta de dados. "O Nebulous Mantis opera como um grupo de ameaças sofisticado, empregando uma metodologia de intrusão multifásica para obter acesso inicial, execução, persistência e exfiltração de dados", concluiu a empresa.

"Ao longo do ciclo de vida do ataque, o Nebulous Mantis exibe disciplina operacional ao minimizar sua pegada, equilibrando cuidadosamente a coleta agressiva de informações com os requisitos de furtividade, sugerindo apoio estatal ou uma organização cibercriminosa profissional com recursos significativos."

A revelação ocorre semanas depois que a PRODAFT expôs um grupo de ransomware chamado Ruthless Mantis (também conhecido como PTI-288) que se especializa em dupla extorsão, colaborando com programas de afiliados como Ragnar Locker, INC Ransom e outros.

Liderado por um invasor apelidado de LARVA-127, o grupo de ameaças com motivação financeira utiliza uma variedade de ferramentas legítimas e personalizadas para facilitar cada fase do ciclo de ataque: descoberta, persistência, escalonamento de privilégios, evasão de defesa, coleta de credenciais, movimento lateral e frameworks C2 como Brute Ratel c4 e Ragnar Loader.

"Embora o Ruthless Mantis seja composto por membros centrais altamente experientes, eles também integram ativamente novatos para aprimorar continuamente a eficácia e a velocidade de suas operações", afirmou a PRODAFT.

"O Ruthless Mantis expandiu significativamente seu arsenal de ferramentas e métodos, fornecendo-lhes recursos de ponta para otimizar processos e aumentar a eficiência operacional."

Campanha RomCom Mira Organizações do Reino Unido#

A empresa de segurança cibernética britânica Bridewell informou ter descoberto uma nova campanha orquestrada pelo invasor RomCom que envolveu o uso de portais de feedback de clientes voltados para o público para enviar e-mails de phishing a dois de seus clientes nos setores de varejo e hotelaria, e infraestrutura crítica nacional (CNI).

"Contidos nos formulários de feedback estavam reclamações de usuários relativas a instalações de eventos operadas pelo alvo ou consultas de recrutamento, incluindo links para mais informações que apoiavam as reclamações armazenadas em domínios de personificação do Google Drive e do Microsoft OneDrive hospedados em infraestrutura VPS controlada pelos invasores", explicaram os pesquisadores Joshua Penny e Yashraj Solanki.

A campanha, codinome Operação Deceptive Prospect, estaria em andamento desde 2024, com a cadeia de ataque levando à implantação de um downloader executável disfarçado de documento PDF. "O nome da assinatura também reforça nossa hipótese de que há sobreposição técnica com o RomCom do ponto de vista das ferramentas", acrescentaram os pesquisadores.

Via - THN