Многоступенчатый взлом: как Nebulous Mantis проникла в инфраструктуру НАТО

Группа кибер шпионажа под названием Nebulous Mantis вновь оказалась в центре внимания специалистов по информационной безопасности. По данным компании PRODAFT, в арсенале злоумышленников — троянец удалённого доступа RomCom RAT, использующийся как минимум с середины 2022 года.

Особенностью вредоносного ПО стало применение техник обхода защиты, в том числе скрытной активности за счёт штатных функций операционной системы, шифрованной связи с серверами управления и устойчивой инфраструктуры на основе хостинга, невосприимчивого к блокировкам. Расследование показало, что за техническое обеспечение отвечает киберпреступник под псевдонимом LARVA-290.

Группировка действует с 2019 года и также известна под другими названиями: Cuba, Void Rabisu, Storm-0978 и другими. Её цели — государственные учреждения, критическая инфраструктура, политические фигуры и структуры, связанные с обороной стран НАТО. Распространение вредоносного ПО происходит через фишинговые письма с вредоносными документами. Управляющие домены размещаются на серверах компаний LuxHost и Aeza, известных предоставлением услуг BPH-хостинга.

Основной компонент атаки — DLL-библиотека, загружающая дополнительные модули через распределённую файловую систему IPFS, позволяющая выполнить команды, внедрить окончательный вредоносный код и установить связь с управляющим сервером. Заключительная стадия включает загрузку дополнительных компонентов для кражи данных из браузеров и других источников.

RomCom также собирает информацию о системе, включая часовой пояс, чтобы подстроить активность под рабочие часы жертвы или обойти временные ограничения защитных решений. Кроме этого, троянец изменяет реестр Windows, использует техники перехвата COM-объектов для закрепления, исследует структуру сети и Active Directory, перемещается по инфраструктуре и выгружает конфиденциальную информацию, включая файлы и резервные копии Outlook.

Операторы управляют заражёнными устройствами через специальную панель, позволяющую просматривать характеристики системы и выполнять более 40 команд. По данным PRODAFT, Nebulous Mantis придерживается многоступенчатой стратегии взлома, включая проникновение, выполнение вредоносного кода, закрепление в системе и выкачивание данных.

Раскрытие этих данных произошло вскоре после того, как PRODAFT также сообщила о действиях ещё одной группировки — Ruthless Mantis, работающей по модели двойного вымогательства и сотрудничающей с такими партнёрскими программами, как Ragnar Locker и INC Ransom.

Её лидер, известный под именем LARVA-127, использует как легальные, так и собственные вредоносные инструменты на всех этапах атаки — от первичного проникновения до использования фреймворков управления вроде Brute Ratel и Ragnar Loader. В состав группы входят как опытные специалисты, так и новички, что позволяет им наращивать темпы операций и эффективность внедрений.