Peneliti cybersecurity telah menjelaskan kelompok spionase cyber berbahasa Rusia yang disebut nebulous mantis yang telah menggunakan akses jarak jauh Trojan yang disebut Romcom Rat sejak pertengahan 2022.
Romcom “menggunakan teknik penghindaran canggih, termasuk taktik hidup-off-the-land (LOTL) dan komunikasi komando dan kontrol terenkripsi (C2), sementara terus mengembangkan infrastrukturnya-memanfaatkan hosting anti peluru untuk mempertahankan ketekunan dan menghindari deteksi,” kata perusahaan keamanan siber Swiss Prodaft dalam laporan yang dibagikan dengan The Hacker News.
Mantis samar-samar, juga dilacak oleh komunitas cybersecurity dengan nama Cigar, Kuba, Storm-0978, Tropis Scorpius, UNC2596, dan Void Rabisu, diketahui menargetkan infrastruktur kritis, lembaga pemerintah, pemimpin politik, dan organisasi pertahanan terkait NATO.
Rantai serangan yang dipasang oleh grup biasanya melibatkan penggunaan email phishing tombak dengan tautan dokumen yang dipersenjatai untuk mendistribusikan Romcom Rat. Server domain dan perintah-dan-kontrol (C2) yang digunakan dalam kampanye ini telah di-host di layanan hosting Bulletproof (BPH) seperti Luxhost dan Aeza. Infrastruktur dikelola dan dibeli oleh aktor ancaman bernama Larva-290.
Aktor ancaman dinilai aktif sejak setidaknya pertengahan 2019, dengan iterasi sebelumnya dari kampanye yang memberikan hancitor dengan kode pemuat malware.
Romcom DLL tahap pertama dirancang untuk terhubung ke server C2 dan mengunduh muatan tambahan menggunakan sistem file antarplanet (IPFS) yang di-host di domain yang dikendalikan penyerang, menjalankan perintah pada host yang terinfeksi, dan menjalankan malware C ++ tahap akhir.
Varian akhir juga membuat komunikasi dengan server C2 untuk menjalankan perintah, serta mengunduh dan menjalankan lebih banyak modul yang dapat mencuri data browser web.
“Aktor ancaman mengeksekusi perintah tzutil untuk mengidentifikasi zona waktu yang dikonfigurasi sistem,” kata Prodaft. “Penemuan informasi sistem ini mengungkapkan konteks geografis dan operasional yang dapat digunakan untuk menyelaraskan kegiatan serangan dengan jam kerja korban atau untuk menghindari kontrol keamanan berbasis waktu tertentu.”
ROMCOM, selain memanipulasi Registry Windows untuk mengatur kegigihan menggunakan pembajakan com, dilengkapi untuk memanen kredensial, melakukan pengintaian sistem, menyebutkan Direktori Aktif, melakukan gerakan lateral, dan mengumpulkan data yang menarik, termasuk file, kredensial, detail konfigurasi, dan cadangan Microsoft Outlook.
Varian dan korban ROMCOM dikelola melalui panel C2 khusus, yang memungkinkan operator untuk melihat detail perangkat dan mengeluarkan lebih dari 40 perintah dari jarak jauh untuk melakukan berbagai tugas pengumpulan data.
“Mantis samar beroperasi sebagai kelompok ancaman canggih yang menggunakan metodologi intrusi multi-fase untuk mendapatkan akses awal, pelaksanaan, kegigihan, dan exfiltrasi data,” kata perusahaan itu.
“Sepanjang siklus hidup serangan, samar-samar Mantis menunjukkan disiplin operasional dalam meminimalkan jejak mereka, dengan hati-hati menyeimbangkan koleksi intelijen agresif dengan persyaratan siluman, menunjukkan dukungan yang disponsori negara atau organisasi penjahat cyber profesional dengan sumber daya yang signifikan.”
Pengungkapan datang beberapa minggu setelah ProPaft mengekspos kelompok ransomware bernama Ruthless Mantis (alias PTI-288) yang berspesialisasi dalam pemerasan ganda dengan berkolaborasi dengan program afiliasi, seperti Ragnar Locker, Inc Ransom, dan lainnya.
Dipimpin oleh aktor ancaman yang dijuluki Larva-127, aktor ancaman yang termotivasi secara finansial menggunakan serangkaian alat yang sah dan kustom untuk memfasilitasi setiap dan setiap fase siklus serangan: penemuan, kegigihan, eskalasi hak istimewa, penghindaran pertahanan, pemanenan kredensial, gerakan lateral, dan kerumunan C2 seperti Ratael C4 Ratael C4.
“Meskipun mantis yang kejam terdiri dari anggota inti yang sangat berpengalaman, mereka juga secara aktif mengintegrasikan pendatang baru untuk terus meningkatkan efektivitas dan kecepatan operasi mereka,” katanya.
“Mantis yang kejam telah secara signifikan memperluas gudang alat dan metode, memberi mereka sumber daya canggih untuk merampingkan proses dan meningkatkan efisiensi operasional.”
