Curly COMrades APT

لُوحظت مجموعة تهديدات إلكترونية، لم تُوثّق سابقًا، تُدعى "الرفاق المجعدون"، تستهدف جهات رفيعة المستوى في جورجيا ومولدوفا. ويبدو أن هذه الحملة مُوجّهة نحو التسلل طويل الأمد وجمع المعلومات الاستخبارية داخل الشبكات المُستهدفة. تكشف أنشطة المجموعة عن نهج مُدبّر ومُستمرّ وسريّ يتماشى مع المصالح الجيوسياسية لروسيا.

الأهداف ذات القيمة العالية والنشاط المبكر

منذ منتصف عام ٢٠٢٤، ركزت المجموعة على الهيئات القضائية والحكومية في جورجيا وشركة توزيع طاقة في مولدوفا. يُظهر تحليل آثار الهجوم أن العملية بدأت قبل الموعد المتوقع، إذ يعود أقدم استخدام مؤكد لبرمجيتها الخبيثة المخصصة، MucorAgent، إلى نوفمبر ٢٠٢٣، مع أن النشاط بدأ على الأرجح قبل ذلك التاريخ.

الأهداف والتكتيكات الاستراتيجية

الهدف النهائي لـ Curly COMrades هو الوصول المطول إلى الشبكة، مما يُمكّن من الاستطلاع وسرقة بيانات الاعتماد والتحرك الجانبي بشكل أعمق. يجمعون بين تقنيات الهجوم القياسية والتطبيقات المخصصة للتوافق مع عمليات النظام المشروعة. تتميز حملتهم بما يلي:

• المحاولة والخطأ المتكرر لتحسين الوصول
• طرق زائدة لضمان المرونة
• خطوات الإعداد التدريجي لتجنب الاكتشاف

سرقة بيانات الاعتماد في جوهرها

حاول المهاجمون مرارًا وتكرارًا استخراج ملفات قاعدة بيانات NTDS من وحدات تحكم النطاق، مستهدفين تجزئات كلمات المرور وبيانات المصادقة. كما حاولوا تفريغ ذاكرة LSASS من أجهزة مختارة، بهدف استعادة بيانات اعتماد المستخدم النشطة، بما في ذلك كلمات مرور نصية عادية محتملة.

إساءة استخدام الأدوات المشروعة للتخفي

من أبرز سمات عمليات Curly COMrades استخدام برامج وخدمات موثوقة لإخفاء الأنشطة الخبيثة. من أبرز أدواتها:

Resocks، وSOCKS5، وSSH، وStunnel – إنشاء أنفاق وصول متعددة إلى الشبكات الداخلية وتمكين تنفيذ الأوامر عن بعد.

المواقع الإلكترونية المشروعة ولكنها معرضة للخطر - تعمل كوسائل سرية لحركة C2 واستخراج البيانات، وتختلط بتدفقات الشبكة العادية.

أدوات مساعدة إضافية للتسليح:

• CurlCat – نقل البيانات ثنائي الاتجاه عبر HTTPS عبر المواقع المخترقة

• RuRat – أداة RMM شرعية تُستخدم للتحكم المستمر

• Mimikatz – حصاد بيانات الاعتماد من الذاكرة

• أوامر Windows الشائعة (netstat، tasklist، systeminfo، ipconfig، ping) للاستطلاع

• نصوص PowerShell مع curl لاستخراج البيانات خفية

MucorAgent: سلاح ثبات مخصص

يقع MucorAgent في قلب الحملة، وهو برنامج خلفي مخصص لـ .NET يختطف معرفات فئة COM (CLSIDs) المرتبطة بـ Native Image Generator (Ngen)، وهو أحد مكونات .NET Framework المضمنة.

على الرغم من أن Ngen مُصمم لتجميع التجميعات مسبقًا، إلا أنه يعمل كآلية ثبات خفية. يستغل المهاجمون مهمة مجدولة مُعطلة مرتبطة بـ Ngen، والتي تُفعّل أحيانًا بشكل غير متوقع، أثناء أوقات الخمول أو نشر التطبيقات، مما يسمح لهم باستعادة الوصول على مستوى النظام دون إطلاق إنذارات.

يعمل غرس MucorAgent على ثلاث مراحل، حيث يُنفِّذ نصوص PowerShell مُشفَّرة، ويُرسِل النتائج إلى خوادم يُسيطر عليها المهاجم. تُحمَّل البيانات في الذاكرة وتُحذف فورًا، مما يُخلِّف آثارًا جنائية ضئيلة.

منهجيّة، وتكيّفيّة، وتخفيّة أولًا

يُظهر أعضاء Curly COMrades ميلًا للتخفي على الابتكار، معتمدين على الأدوات العامة، والبرمجيات مفتوحة المصدر، وألعاب LOLBins بدلًا من استغلال ثغرات يوم الصفر. تُركز عملياتهم على الثبات والتكيف دون أي ضجيج، باستخدام أدوات شائعة ومخصصة للحفاظ على سيطرة طويلة الأمد دون إثارة الشكوك.