كشف باحثو الأمن السيبراني عن مجموعة تجسس إلكتروني ناطقة بالروسية تُعرف باسم “نيبولوس مانتيس” (Nebulous Mantis)، والتي تستخدم حصان طروادة للوصول عن بُعد يُدعى RomCom RAT منذ منتصف عام 2022.
تكتيكات متطورة وتجنب الاكتشاف
وفقًا لشركة PRODAFT السويسرية للأمن السيبراني، يستخدم RomCom RAT تقنيات متقدمة للتخفي، بما في ذلك:
-
تكتيكات “العيش على الأرض” (LOTL) لاستخدام أدوات النظام المشروعة في الهجمات.
-
اتصالات مشفرة مع خوادم التحكم (C2).
-
استضافة مضادة للحظر (Bulletproof Hosting) مثل LuxHost وAeza للحفاظ على استمرارية الهجمات.
تُعرف المجموعة أيضًا بأسماء أخرى مثل CIGAR، Cuba، Storm-0978، Tropical Scorpius، UNC2596، وVoid Rabisu، وتهدف بشكل رئيسي إلى:
-
البنى التحتية الحيوية.
-
الوكالات الحكومية.
-
القادة السياسيين.
-
منظمات الدفاع المرتبطة بحلف الناتو.
كيف تعمل هجمات “نيبولوس مانتيس”؟
تعتمد المجموعة على:
-
رسائل التصيد الاحتيالي (Spear-Phishing) تحتوي على مستندات ضارة.
-
خوادم C2 مُدارة بواسطة جهة تهديد تُدعى LARVA-290.
-
تحميل برمجيات خبيثة أولية تُسمى Hancitor قبل تنزيل RomCom RAT.
مراحل هجوم RomCom RAT
-
الاتصال بخادم C2 عبر نظام InterPlanetary File System (IPFS) لتنزيل حمولات إضافية.
-
تنفيذ أوامر على الجهاز المصاب.
-
تنفيذ برنامج خبيث نهائي مكتوب بلغة C++.
يتميز البرنامج الخبيث بقدرته على:
-
جمع بيانات اعتماد المستخدمين.
-
استكشاف النظام وتعداد خدمات Active Directory.
-
الانتقال الأفقي بين الشبكات.
-
سرقة ملفات مهمة، بما في ذلك نسخ احتياطية من Microsoft Outlook.
لوحة تحكم سرية لإدارة الضحايا
تمتلك المجموعة لوحة تحكم مخصصة (C2 Panel) تتيح لها:
-
عرض تفاصيل الأجهزة المصابة.
-
إصدار أكثر من 40 أمرًا عن بُعد.
-
تنفيذ مهام جمع البيانات بشكل منهجي.
وقالت PRODAFT:
“تعمل نيبولوس مانتيس كمجموعة تهديد متطورة تستخدم منهجية متعددة المراحل للوصول الأولي، التنفيذ، الاستمرارية، وسرقة البيانات.”
هل وراء المجموعة جهات دولة؟
تشير الدلائل إلى أن:
-
المجموعة تمتلك انضباطًا تشغيليًا عاليًا.
-
تتوازن بين جمع المعلومات العدواني والتخفي.
-
قد تكون مدعومة من دولة أو منظمة إجرامية إلكترونية محترفة بموارد كبيرة.
كشف متزامن لمجموعة “روثليس مانتيس” المتخصصة في الابتزاز المزدوج
جاء هذا الكشف بعد أسابيع من تعرّض PRODAFT لمجموعة برمجيات الفدية “روثليس مانتيس” (Ruthless Mantis)، التي:
-
تتعاون مع برامج تابعة مثل Ragnar Locker وINC Ransom.
-
تستخدم أدوات مشروعة ومخصصة لتنفيذ الهجمات.
-
تعتمد على أطر عمل مثل Brute Ratel وRagnar Loader.
وذكر التقرير:
“على الرغم من أن المجموعة تضم أعضاءً ذوي خبرة عالية، إلا أنها تقوم بدمج أعضاء جدد لتعزيز سرعة وفعالية عملياتها.”
