Los investigadores de ciberseguridad han arrojado luz sobre un grupo de ciber espionaje de habla rusa llamado Nebulloso mantis que ha desplegado un troyano de acceso remoto llamado Romcom Rat desde mediados de 2022.
Romcom “emplea técnicas de evasión avanzadas, incluidas las tácticas de vida de la tierra (LOTL) y las comunicaciones de comando y control (C2) encriptados (C2), al tiempo que evolucionan continuamente su infraestructura, aprovechando el alojamiento a prueba de balas para mantener la persistencia y evadir la detección”, la compañía de seguridad cibernética suiza espalear dicho En un informe compartido con The Hacker News.
Mantis nebulosa, también rastreada por la comunidad de seguridad cibernética bajo los nombres de Cigar, Cuba, Storm-0978, Tropical Scorpius, UNC2596 y Void Rabisu, es conocido por apuntar a una infraestructura crítica, agencias gubernamentales, líderes políticos y organizaciones de defensa relacionadas con la OTAN.
Las cadenas de ataque montadas por el grupo generalmente implican el uso de correos electrónicos de phishing de lanza con enlaces de documentos armados para distribuir RomCom Rat. Los dominios y los servidores de comando y control (C2) utilizados en estas campañas se han alojado en servicios de alojamiento a prueba de balas (BPH) como Luxhost y AEZA. La infraestructura es administrada y adquirida por un actor de amenaza llamado LARVA-290.
Se evalúa que el actor de amenaza está activo desde al menos a mediados de 2019, con iteraciones anteriores de la campaña que entrega un cargador de malware con nombre en código Hancitor.
La DLL ROMCOM de primera etapa está diseñada para conectarse a un servidor C2 y descargar cargas útiles adicionales utilizando el sistema de archivos interplanetario (IPFS) alojado en dominios controlados por el atacante, ejecutar comandos en el host infectado y ejecutar el malware C ++ de la etapa final.
La variante final también establece comunicaciones con el servidor C2 para ejecutar comandos, así como descargar y ejecutar más módulos que pueden robar datos del navegador web.
“El actor de amenaza ejecuta el comando tzutil para identificar la zona horaria configurada del sistema”, dijo ProDaft. “Este descubrimiento de información del sistema revela un contexto geográfico y operativo que puede usarse para alinear las actividades de ataque con las horas de trabajo de las víctimas o para evadir ciertos controles de seguridad basados en el tiempo”.
RomCom, además de manipular el registro de Windows para configurar la persistencia utilizando el secuestro de COM, está equipado para cosechar credenciales, realizar reconocimiento del sistema, enumerar el directorio activo, realizar movimiento lateral y recopilar datos de interés, incluidos archivos, credenciales, detalles de configuración y copias de seguridad de Microsoft Outlook.
Las variantes y víctimas de comedia romántica se administran mediante un panel C2 dedicado, lo que permite a los operadores ver los detalles del dispositivo y emitir más de 40 comandos de forma remota para llevar a cabo una variedad de tareas de recolección de datos.
“Nebuloso Mantis opera como un grupo de amenazas sofisticado que emplea una metodología de intrusión multifasa para obtener acceso inicial, ejecución, persistencia y exfiltración de datos”, dijo la compañía.
“A lo largo del ciclo de vida del ataque, la mantis nebulosa exhibe disciplina operativa para minimizar su huella, equilibrando cuidadosamente la recolección de inteligencia agresiva con requisitos de sigilo, lo que sugiere un respaldo patrocinado por el estado o una organización ciberderigenal profesional con recursos significativos”.
La divulgación se produce semanas después de que ProDaft expuso un grupo de ransomware llamado Ruthless Mantis (también conocido como PTI-288) que se especializa en doble extorsión al colaborar con programas afiliados, como Ragnar Locker, Inc Ransom y otros.
Dirigido por un actor de amenaza denominado LARVA-127, el actor de amenaza de motivación financiera utiliza una variedad de herramientas legítimas y personalizadas para facilitar cada fase del ciclo de ataque: descubrimiento, persistencia, escalada de privilegios, evasión de defensa, cosecha de credenciales, movimiento lateral y marco C2 como el cargador de ratel bruta y cargador de trapo.
“Aunque la Mantis despiadada está compuesta por miembros centrales altamente experimentados, también integran activamente a los recién llegados para mejorar continuamente la efectividad y la velocidad de sus operaciones,” TI ” dicho.
“Ruthless Mantis ha ampliado significativamente su arsenal de herramientas y métodos, proporcionándoles recursos de última generación para racionalizar los procesos y aumentar la eficiencia operativa”.
About the Author
