Nebulous Mantis, diğer adlarıyla Cuba, STORM-0978, Tropical Scorpius ve UNC2596 olarak bilinen, Rusça konuşan bir siber casusluk grubudur. 2019’un ortalarından bu yana aktif olan bu aktörler, jeopolitik motivasyonlarla hareket ederek öncelikle kritik altyapı, devlet kurumları, siyasi liderler ve NATO ile ilişkili savunma kuruluşlarını hedef almaktadır.
Saldırılarına genellikle oltalama e-postalarıyla başlamaktadırlar. Bu e-postalara eklenmiş silahlı belge bağlantıları aracılığıyla RomCom adlı uzaktan erişim trojanını (RAT) yaygınlaştırmaktadırlar. 2022 ortalarından itibaren daha gelişmiş bir RomCom versiyonunu kullanmaya başlayan bu grup, bu aracı hem casusluk hem de fidye yazılımı operasyonlarında kullanmaktadır.
Tespitten kaçınmak için kullandıkları bazı gelişmiş teknikler şunlardır:
- Yerleşik (Living-off-the-Land – LOTL) taktikleri
- Şifreli komuta kontrol (C2) iletişimleri
Ayrıca, kalıcılıklarını sağlamak amacıyla kurşun geçirmez barındırma hizmetlerinden (BPH-bulletproof hosting) faydalanarak altyapılarını sürekli olarak geliştirmektedirler. Kullandıkları alan adlarını her ay değiştiren bu ekip, oltalama ve C2 sunucularını LuxHost ve AEZA gibi BPH sağlayıcılarından temin etmektedir. Yapılan analizler, saldırı sunucularını yöneten ve çok sayıda fidye yazılımı saldırısı gerçekleştiren LARVA-290 adlı kişinin, ekip içinde ve RomCom operasyonlarında kritik bir BT yöneticisi rolünü sürdürdüğünü ortaya koymaktadır.
Nebulous Mantis’in RomCom kullanarak gerçekleştirdiği saldırılar genellikle iki aşamadan oluşmaktadır:
- Veri Sızdırma: Kurban sistemlerinden kritik bilgilerin toplanıp kendi komuta kontrol (C2) sunucularına yüklenmesi.
- Fidye Yazılımı Dağıtımı: Veri hırsızlığını örtbas etmek amacıyla sistemlere fidye yazılımı dağıtılarak tüm verilerin şifrelenmesi ve fidye talep edilmesi (T1486 – Etki İçin Şifrelenmiş Veri).
Bu fidye yazılımı kullanımı, 2020 öncesi saldırılarında gözlemlenmemiş olup, Ocak 2020’de Cuba fidye yazılımının kullanılmasıyla başlamıştır. Mart 2022 sonrasında Cuba fidye yazılımının yerini, onun devamı niteliğindeki Industrial Spy almıştır. Temmuz 2023 itibarıyla ise benzer bir şekilde Team Underground fidye yazılımını kullanmaya başlamışlardır. Günümüzde devam eden birçok saldırıda, etkilenen çok sayıda kritik kurbanın verileri Team Underground’ın Veri Sızdırma Sitesi (DLS) üzerinden paylaşılmaktadır.
Aktif oltalama saldırıları sayesinde, Nebulous Mantis ekibi yaklaşık bir aylık bir zaman diliminde 46’dan fazla kritik hedefe ulaşabilmektedir. Ekip, altyapılarında hala LARVA-290 tarafından yönetilen alan adlarını ve sunucuları kullanmaktadır. LARVA-290, Cuba fidye yazılımı için kullanılan C2 altyapısı da dahil olmak üzere çok sayıda sunucuyu AEZA ve LuxHost gibi BPH hizmetlerinden temin etmekte ve işletmektedir. Kendi saldırı sunucularından kaynaklanan ve Cuba fidye yazılımıyla sonuçlanan çok sayıda saldırıyı yöneten LARVA-290, Nebulous Mantis ekibi ve RomCom kampanyalarında kritik bir BT yöneticisi rolünü sürdürmeye devam etmektedir.
Referans
Prodaft – Inside the Latest Espionage Campaign of Nebulous Mantis
