Curly COMrades APT
Забелязана е досега недокументирана кибергрупа, наречена Curly COMrades, която е насочена към високопоставени организации в Грузия и Молдова. Тази кампания изглежда е насочена към дългосрочно проникване и събиране на разузнавателна информация в рамките на целевите мрежи. Дейностите на групата разкриват пресметлив, упорит и скрит подход, съобразен с геополитическите интереси на Русия.
Съдържание
Цели с висока стойност и ранна активност
От средата на 2024 г. групата се фокусира върху съдебни и правителствени органи в Грузия и енергоразпределителна компания в Молдова. Анализът на артефактите от атаката показва, че операцията е започнала по-рано от първоначално смятаното, като най-ранното потвърдено използване на техния персонализиран бекдор, MucorAgent, датира от ноември 2023 г., въпреки че активността вероятно е започнала преди това.
Стратегически цели и тактики
Крайната цел на Curly COMrades е продължителен достъп до мрежата, което позволява разузнаване, кражба на идентификационни данни и по-дълбоко странично движение. Те комбинират стандартни техники за атака с персонализирани реализации, за да се слеят с легитимните системни операции. Кампанията им се характеризира с:
- Многократни проби и грешки за усъвършенстване на достъпа
- Излишни методи за осигуряване на устойчивост
- Постепенни стъпки за настройка, за да се избегне откриване
Кражба на идентификационни данни в основата
Нападателите многократно са се опитвали да откраднат файлове с NTDS база данни от домейн контролери, като са се насочили към хешове на пароли и данни за удостоверяване. Те също така са се опитали да изчистят LSASS паметта от избрани машини, целящи да възстановят активни потребителски идентификационни данни, включително евентуални пароли в открит текст.
Злоупотреба с легитимни инструменти за скритост
Отличителен белег на дейността на Curly COMrades е използването на надежден софтуер и услуги за маскиране на злонамерена дейност. Забележителни инструменти включват:
Resocks, SOCKS5, SSH и Stunnel – създаване на множество тунели за достъп до вътрешни мрежи и позволяване на дистанционно изпълнение на команди.
Легитимни, но компрометирани уебсайтове – действащи като скрити релета за C2 трафик и извличане на данни, смесвайки се с нормалните мрежови потоци.
Допълнителни оръжейни помощни средства:
- CurlCat – двупосочен трансфер на данни през HTTPS през компрометирани сайтове
- RuRat – легитимен инструмент за управление на риска (RMM), използван за постоянен контрол
- Мимикатц – събиране на удостоверения от паметта
- Често срещани команди на Windows (netstat, tasklist, systeminfo, ipconfig, ping) за разузнаване
- PowerShell скриптове с curl за скрито извличане на данни
MucorAgent: Персонализирано оръжие за постоянство
В основата на кампанията е MucorAgent, специално разработена .NET задна врата, която отвлича COM класови идентификатори (CLSID), свързани с Native Image Generator (Ngen), вграден компонент на .NET Framework.
Ngen, въпреки че е проектиран да предварително компилира асембли, може да служи като скрит механизъм за запазване на достъпа. Атакуващите експлоатират деактивирана планирана задача, свързана с Ngen, която понякога се задейства непредсказуемо, по време на периоди на неактивност или внедряване на приложения, което им позволява да възстановят достъпа на системно ниво, без да задействат аларми.
Имплантът MucorAgent работи на три етапа, изпълнявайки криптирани PowerShell скриптове и изпращайки резултатите до контролирани от атакуващия сървъри. Полезните товари се зареждат в паметта и се изтриват веднага след това, оставяйки минимални криминалистични следи.
Методичен, адаптивен и скрит
Къдравите COMrades демонстрират предпочитание към скритостта пред новостта, разчитайки на публични инструменти, помощни програми с отворен код и LOLBins, вместо да експлоатират zero-day уязвимости. Техните операции наблягат на нискошумова устойчивост и адаптивност, използвайки както общи, така и персонализирани инструменти за поддържане на дългосрочен контрол, без да пораждат подозрения.
