Nebulous Mantis Kimdir? RomCom RAT Nedir? Nasıl Çalışır? Nebulous Mantis Hedefleri Nelerdir?
Nebulous Mantis Kimdir?
Nebulous Mantis, Rusça konuşan bir siber casusluk grubudur. Bu grup, 2022 yılı ortalarından itibaren RomCom RAT adlı bir uzaktan erişim trojanı kullanmaya başlamıştır. Siber güvenlik araştırmacıları, Nebulous Mantis’in karmaşık yapısını ve hedeflerini analiz ederek bu grubun kritik altyapılar, hükümet ajansları, siyasi liderler ve NATO ile ilişkili savunma organizasyonlarına saldırılar düzenlediğini ortaya koymuştur.
RomCom RAT Nedir?
RomCom RAT, kapsamlı kaçma tekniklerine sahip bir zararlı yazılımdır. Geliştiricileri, Living-off-the-Land (LOTL) taktiklerini ve şifreli komut kontrol (C2) iletişimini kullanarak, keşfedilme olasılığını en aza indirgemekte ve sürekli olarak altyapısını geliştirmektedir. PRODAFT, yaptığı bir raporda, bu zararlı yazılımın kararlı kalacak şekilde “bulletproof hosting” hizmetlerini kullandığını belirtmiştir.
RomCom RAT Nasıl Çalışır?
RomCom RAT saldırı zincirleri genellikle, zararlı belgeler içeren oltalama e-postaları kullanılarak dağıtılmaktadır. Saldırıların gerçekleştirildiği alan adları ve C2 sunucuları, LuxHost ve Aeza gibi “bulletproof hosting” hizmetlerinde barındırılmaktadır. Bu altyapı, LARVA-290 adlı bir tehdit aktörü tarafından yönetilmektedir. RomCom, ilk aşamasında C2 sunucusuna bağlanarak ek payload’lar indirir ve enfekte olmuş sistemde komutlar çalıştırır.
Nebulous Mantis Hedefleri Nelerdir?
Nebulous Mantis, genel olarak kritik altyapı hedeflerini seçerken dikkatli bir yaklaşım sergilemektedir. Özel sektörün yanı sıra NATO gibi uluslararası organizasyonları da hedef almakta, bu süreçte devlet destekli bir grup olabileceği düşünülmektedir. Grubun karmaşık saldırı metodolojisi, birçok aşamadan oluşmaktadır: ilk erişim, yürütme, süreklilik sağlama ve veri sızdırma.
Nebulous Mantis’in Operasyonel Disiplini
PRODAFT’ın analizlerine göre, Nebulous Mantis, her aşamada dikkatlice minimize edilmiş bir ayak izi bırakmaktadır. Bu durum, grubun hem saldırgan hem de gizlilik gereksinimlerini dengelemekte olduğunu göstermektedir. Gelişmiş bilgi toplama yöntemleri, devlet destekli veya profesyonel bir siber suç örgütünün bulunması ihtimalini artırmaktadır.
RomCom’un Özellikleri
RomCom, Windows Kayıt Defteri’ni manipüle ederek kalıcılığı sağlamakta ve kullanıcı kimlik bilgilerini toplama, sistem keşfi, Active Directory’yi sıralama gibi işlevleri gerçekleştirmektedir. Ek olarak, Microsoft Outlook yedekleri de dahil olmak üzere, önemli dosyaları ve yapılandırma detaylarını toplamak için entegre özelliklere sahiptir. RomCom’un farklı sürümleri, merkezi bir C2 paneli aracılığıyla yönetilmektedir; bu panel, cihaz detaylarını görüntüleme ve 40’tan fazla komut gönderme yeteneği sunar.
Araştırma ve Geliştirme
Nebulous Mantis’in operasyona yönelik disiplinli yaklaşımı ve hızla değişen ihtiyaçlara yanıt verme yeteneği, grubun siber savaşta kalıcı olmasını sağlamaktadır. Özellikle, zaman dilimini belirlemek için tzutil komutunu kullanarak, kurbanın çalışma saatlerine uygun saldırı takvimleri oluşturmakta ve bazı zaman tabanlı güvenlik kontrollerinden kaçınmaktadır.
Sonuç
Nebulous Mantis ve RomCom RAT, günümüz siber güvenlik tehditlerinin ne denli karmaşık ve tehdit edici olabileceğinin bir örneği olarak karşımıza çıkmaktadır. Devlet destekli veya yüksek kaynaklara sahip bir siber suç örgütünün eylemleri, toplumlar ve güvenlik kuruluşları için ciddi bir risk teşkil etmektedir. Bu tür tehdit gruplarının sürekli evrildiğini göz önünde bulundurarak, siber güvenlik alanında alınacak önlemler ve inkişaf ettirilecek stratejilerin önemi daha da artmaktadır.
