サイバーセキュリティ研究者たちは、2022年中頃からRomCom RATというリモートアクセス型トロイの木馬を展開しているネビュラスマンティスというロシア語を話すサイバー諜報グループについて明らかにしました。
RomComは、「持続性を維持し、検出を回避するために、弾力性のあるホスティングを活用しながら、インフラを進化させ続け、生活のための戦術(LOTL)や暗号化された指令・制御(C2)通信を含む高度な回避技術を採用しています」と、スイスのサイバーセキュリティ企業PRODAFTはThe Hacker Newsと共有したレポートで述べています。
ネビュラスマンティスは、サイバーセキュリティコミュニティによってCIGAR、Cuba、Storm-0978, Tropical Scorpius, UAC-0180, UNC2596、およびVoid Rabisuとしても追跡されており、重要なインフラ、政府機関、政治指導者、NATO関連の防衛組織を標的にしていることが知られています。
このグループによって仕掛けられる攻撃チェーンは通常、武器化された文書リンクを含むスピアフィッシングメールを使用してRomCom RATを配布することを含みます。これらのキャンペーンで使用されるドメインと指令・制御(C2)サーバーは、LuxHostやAezaのような弾力性のあるホスティング(BPH)サービスにホストされています。このインフラは、LARVA-290という脅威アクターによって管理され、調達されています。
この脅威アクターは少なくとも2019年中頃から活動していると評価されており、キャンペーンの初期のバージョンではHancitorというコードネームのマルウェアローダーを配信していました。
最初の段階のRomCom DLLは、C2サーバーに接続し、攻撃者が管理するドメインにホストされたInterPlanetary File System(IPFS)を使用して追加のペイロードをダウンロードし、感染したホスト上でコマンドを実行し、最終段階のC++マルウェアを実行するように設計されています。
最終バリアントもまた、C2サーバーと通信を確立し、コマンドを実行し、ウェブブラウザデータを盗むことができるモジュールをダウンロードして実行します。
「脅威アクターは、システムの設定されたタイムゾーンを特定するためにtzutilコマンドを実行します」とPRODAFTは述べています。「このシステム情報の発見は、攻撃活動を被害者の勤務時間に合わせたり、特定の時間ベースのセキュリティ制御を回避するために使用できる地理的および運用上のコンテキストを明らかにします。」
RomComは、COMハイジャックを使用して持続性を設定するためにWindowsレジストリを操作することに加えて、資格情報を収集し、システム偵察を行い、Active Directoryを列挙し、横方向の移動を実行し、ファイル、資格情報、構成詳細、Microsoft Outlookのバックアップを含む関心のあるデータを収集することができます。
RomComのバリアントと被害者は、専用のC2パネルを介して管理され、オペレーターがデバイスの詳細を表示し、40以上のコマンドをリモートで発行してさまざまなデータ収集タスクを実行することができます。
「ネビュラスマンティスは、初期アクセス、実行、持続性、データ流出を得るために多段階の侵入方法論を採用する洗練された脅威グループとして活動しています」と同社は述べています。
「攻撃ライフサイクル全体を通じて、ネビュラスマンティスは、攻撃の痕跡を最小限に抑え、攻撃的な情報収集とステルス要件を慎重にバランスさせる運用規律を示しており、国家支援を受けているか、または重要なリソースを持つプロのサイバー犯罪組織であることを示唆しています。」
この開示は、Ragnar Locker、INC Ransomなどのアフィリエイトプログラムと協力して二重恐喝を専門とするRuthless Mantis(別名PTI-288)というランサムウェアグループをPRODAFTが暴露した数週間後に行われました。
LARVA-127と呼ばれる脅威アクターが率いる金銭目的の脅威アクターは、攻撃サイクルの各フェーズを促進するために、正当なツールとカスタムツールの一連を利用しています:発見、持続性、特権の昇格、防御回避、資格情報の収集、横方向の移動、Brute Ratel c4やRagnar LoaderのようなC2フレームワーク。
「Ruthless Mantisは、高度に経験豊富なコアメンバーで構成されていますが、新人も積極的に統合し、運用の効果と速度を継続的に向上させています」と述べています。
「Ruthless Mantisは、ツールと方法のアーセナルを大幅に拡大し、プロセスを合理化し、運用効率を向上させるための最先端のリソースを提供しています。」
RomComキャンペーンが英国の組織を標的に#
英国に拠点を置くサイバーセキュリティ企業BrideWellは、RomCom脅威アクターによって組織された新しいキャンペーンを発見したと述べており、これは小売業やホスピタリティ、CNIセクターの2つの顧客にフィッシングメールを送信するために外部向けの顧客フィードバックポータルを使用することを含んでいました。
「フィードバックフォームに含まれていたのは、ターゲットが運営するイベント施設に関するユーザーの苦情や採用に関する問い合わせであり、Google DriveやMicrosoft OneDriveの偽装ドメインにホストされた脅威アクターが管理するVPSインフラに保存された苦情をサポートするさらなる情報へのリンクが含まれていました」と研究者のJoshua PennyとYashraj Solankiは述べています。
このキャンペーンは、Operation Deceptive Prospectというコードネームで呼ばれ、2024年から続いていると言われており、攻撃チェーンはPDF文書を装った実行可能なダウンローダーの展開に至ります。
「署名の名前は、ツールの観点からRomComとの技術的な重複があるという我々の仮説をさらに支持しています」と研究者たちは付け加えました。