Los investigadores de ciberseguridad han arrojado luz sobre un rama de ciber espionaje de deje rusa llamado Nebulloso mantis que ha desplegado un troyano de acercamiento remoto llamado Romcom Rat desde mediados de 2022.
Romcom «emplea técnicas de diversión destacamento, incluidas las tácticas de vida-de la tierra (LOTL) y las comunicaciones de comando y control (C2) encriptados, al tiempo que evolucionan continuamente su infraestructura, aprovechando el alojamiento a prueba de balas para sustentar la persistencia y escamotear la detección», dijo la compañía de seguridad cibernética, dijo la compañía de la empresa suiza en un mensaje con un mensaje con las informativo hacker.
Nebulosa Mantis, todavía rastreada por la comunidad de seguridad cibernética bajo los nombres de Cigar, Cuba, Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 y Void Rabisu, se sabe que se dirige a infraestructura crítica, agencias gubernamentales, líderes políticos y organizaciones de defensa relacionadas con la OTAN.
Las cadenas de ataque montadas por el rama generalmente implican el uso de correos electrónicos de phishing de aguijada con enlaces de documentos armados para distribuir RomCom Rat. Los dominios y los servidores de comando y control (C2) utilizados en estas campañas se han alojado en servicios de alojamiento a prueba de balas (BPH) como Luxhost y AEZA. La infraestructura es administrada y adquirida por un actor de amenaza llamado LARVA-290.
Se evalúa que el actor de amenaza está activo desde al menos a mediados de 2019, con iteraciones anteriores de la campaña que entrega un cargador de malware con nombre en código Hancitor.
La DLL ROMCOM de primera etapa está diseñada para conectarse a un servidor C2 y descargar cargas enseres adicionales utilizando el sistema de archivos interplanetario (IPFS) alojado en dominios controlados por el atacante, ejecutar comandos en el host infectado y ejecutar el malware C ++ de la etapa final.
La cambio final todavía establece comunicaciones con el servidor C2 para ejecutar comandos, así como descargar y ejecutar más módulos que pueden robar datos del navegador web.
«El actor de amenaza ejecuta el comando tzutil para identificar la zona horaria configurada del sistema», dijo ProDaft. «Este descubrimiento de información del sistema revela un contexto geográfico y eficaz que puede estar de moda para alinear las actividades de ataque con las horas de trabajo de las víctimas o para escamotear ciertos controles de seguridad basados en el tiempo».
RomCom, adicionalmente de manipular el registro de Windows para configurar la persistencia utilizando el secuestro de COM, está equipado para cosechar credenciales, realizar inspección del sistema, enumerar el directorio activo, realizar movimiento limítrofe y resumir datos de interés, incluidos archivos, credenciales, detalles de configuración y copias de seguridad de Microsoft Outlook.
Las variantes y víctimas de comedia romántica se administran mediante un panel C2 dedicado, lo que permite a los operadores ver los detalles del dispositivo y emitir más de 40 comandos de forma remota para resistir a punta una variedad de tareas de cosecha de datos.
«Nebuloso Mantis opera como un rama de amenazas sofisticado que emplea una metodología de intrusión multifasa para obtener acercamiento auténtico, ejecución, persistencia y exfiltración de datos», dijo la compañía.
«A lo dadivoso del ciclo de vida del ataque, la mantis nebulosa exhibe disciplina operativa para minimizar su huella, equilibrando cuidadosamente la cosecha de inteligencia agresiva con requisitos de sigilo, lo que sugiere un respaldo patrocinado por el estado o una estructura ciberderigenal profesional con medios significativos».
La divulgación se produce semanas a posteriori de que ProDaft expuso un rama de ransomware llamado Ruthless Mantis (todavía conocido como PTI-288) que se especializa en doble perturbación al colaborar con programas afiliados, como Ragnar Locker, Inc Ransom y otros.
Dirigido por un actor de amenaza denominado LARVA-127, el actor de amenaza de motivación financiera utiliza una variedad de herramientas legítimas y personalizadas para allanar cada etapa del ciclo de ataque: descubrimiento, persistencia, ascenso de privilegios, diversión de defensa, cosecha de credenciales, movimiento limítrofe y entorno C2 como el cargador de ratel bruta y cargador de trapo.
«Aunque la Mantis despiadada está compuesta por miembros centrales en gran medida experimentados, todavía integran activamente a los recién llegados para mejorar continuamente la efectividad y la velocidad de sus operaciones», dijo.
«Ruthless Mantis ha ampliado significativamente su atarazana de herramientas y métodos, proporcionándoles medios de última gestación para racionalizar los procesos y aumentar la eficiencia operativa».
Romcom Campaña se dirige a las organizaciones del Reino Unido
La compañía de ciberseguridad con sede en el Reino Unido, Bridewell, dijo que descubrió una nueva campaña orquestada por el actor de amenaza de comedia romántica que implicaba usar portales de comentarios de clientes que enfrentan externamente los portales de comentarios para despachar correos electrónicos de phishing a dos de sus clientes en el comercio minorista y la hospitalidad, y los sectores CNI.
«Continidos en el interior de los formularios de feedback fueron quejas de los usuarios relacionadas con las instalaciones de eventos operadas por las consultas objetivo o de quinta, incluidos los enlaces a más información que respalda las quejas almacenadas en Google Drive y Microsoft Onedrive Dominios de suplentes alojados de la infraestructura de VPS controladas por el actor de amenaza», dijeron los investigadores Joshua Penny y Yashraj Solanki.
Se dice que la campaña, la Operación Deceptiva de la Operación Coden con nombre en código, estaba en curso desde 2024, y la esclavitud de ataque conduce al despliegue de un descargador ejecutable disfrazado de un documento PDF.
«El nombre de la firma respalda aún más nuestra hipótesis de que todavía existe una superposición técnica con Comcom desde una perspectiva de herramientas», agregaron los investigadores.
