NATO országok és védelmi cégek a Nebulous Mantis célkeresztjében
A PRODAFT kiberfenyegetésekkel foglalkozó cég részletesen bemutatta a Nebulous Mantis (más néven Cuba, STORM-0978, Tropical Scorpius, UNC2596) nevű orosz nyelvű kiberkémkedő csoportot, amely 2019 közepe óta aktívan alkalmazza a RomCom RAT-ot és a Hancitor betöltő programot célzott kampányokban. A geopolitikai indíttatású csoport elsősorban a kritikus infrastruktúrákra, kormányzati ügynökségekre, politikai vezetőkre és a NATO-hoz kapcsolódó védelmi szervezetekre összpontosít. Spear-phishing e-maileket használnak a RomCom terjesztésére kémkedés, lateral movement és adatlopás céljából. A legutóbbi támadások során a felhasználókat egy rosszindulatú linket tartalmazó e-maillel célozták meg. Ha az áldozat rákattint a linkre, átirányítják a domainre (pl. drivepoint[dot]pub). Onnan a felhasználó egy OneDrive-hoz hasonlóan kialakított weboldalra kerül (pl. cloud1dv[dot]com).
A Nebulous Mantis körülbelül 2022 közepe óta használja a kifinomult RomCom-ot. Ezt a RAT-ot elsősorban kémkedésre és zsarolóprogram tevékenységekre használják – írják a kutatók. A kártevő fejlett kitérési technikákat alkalmaz, beleértve a LOTL (living-off-the-land) taktikát és a titkosított C2 kommunikációt, miközben folyamatosan fejleszti az infrastruktúráját, valamint bulletproof hosting szolgáltatás használ a perzisztencia fenntartása és a felderítés elkerülése érdekében.
A PRODAFT mérsékelt bizonyossággal úgy értékeli, hogy a csoport célja a kémkedés, annak ellenére, hogy a bizonyítékok arra utalnak, hogy a Nebulous Mantis a RomCom használata mellett kettős zsarolású ransomware tevékenységeket is végez. A Nebulous Mantis különböző támadási szakaszok segítségével kritikus információkat gyűjt az áldozat gépéről, és feltölti azokat a C2 szervereikre. A Nebulous Mantis 2020 előtti támadásaiban nem figyeltek meg ransomware tevékenységet, először 2020. januárban alkalmazta a csoport a a Cuba ransomware-t. A 2022 márciusát követően a Cuba ransomware-t használó támadásokat teljes egészében felváltotta az Industrial Spy használata. Végül a csapat 2023 júliusában kezdte el használni a Team Underground ransomware-t.
A Nebulous Mantis havonta változtatja a használt domaineket, amiket a LuxHost és az AEZA bulletproof hosting (BPH) szolgáltatásaitól szerzi be. A csapat infrastruktúrájának elemzése azt mutatja, hogy LARVA-290, az a személy, aki számos ransomware tevékenység előkészületében és végrehajtásában vett részt és továbbra is kritikus informatikai adminisztrátori szerepet játszik a Nebulous Mantis csapatban.
