Curly COMrades APT
জর্জিয়া এবং মলদোভার উচ্চপদস্থ সত্ত্বাদের লক্ষ্য করে কার্লি কমরেডস নামে একটি পূর্বে নথিভুক্ত না থাকা সাইবার হুমকি গোষ্ঠীকে লক্ষ্য করে অভিযান চালাতে দেখা গেছে। এই অভিযানটি লক্ষ্যবস্তুভুক্ত নেটওয়ার্কগুলির মধ্যে দীর্ঘমেয়াদী অনুপ্রবেশ এবং গোয়েন্দা তথ্য সংগ্রহের লক্ষ্যে পরিচালিত বলে মনে হচ্ছে। এই গোষ্ঠীর কার্যকলাপ রাশিয়ার ভূ-রাজনৈতিক স্বার্থের সাথে সামঞ্জস্যপূর্ণ একটি গণনা করা, অবিচল এবং গোপন-ভিত্তিক পদ্ধতি প্রকাশ করে।
সুচিপত্র
উচ্চ-মূল্যের লক্ষ্যমাত্রা এবং প্রাথমিক কার্যকলাপ
২০২৪ সালের মাঝামাঝি থেকে, এই দলটি জর্জিয়ার বিচার বিভাগীয় ও সরকারি সংস্থা এবং মলদোভার একটি শক্তি বিতরণ কোম্পানির উপর দৃষ্টি নিবদ্ধ করেছে। আক্রমণের নিদর্শন বিশ্লেষণে দেখা গেছে যে অভিযানটি প্রাথমিক ধারণার চেয়ে আগেই শুরু হয়েছিল, তাদের কাস্টম ব্যাকডোর, মিউকোরএজেন্টের প্রথম নিশ্চিত ব্যবহার ২০২৩ সালের নভেম্বরে, যদিও কার্যকলাপ সম্ভবত তার আগেই শুরু হয়েছিল।
কৌশলগত লক্ষ্য এবং কৌশল
কার্লি কমরেডদের শেষ লক্ষ্য হলো দীর্ঘায়িত নেটওয়ার্ক অ্যাক্সেস, যা রিকনেসান্স, ক্রেডেনশিয়াল চুরি এবং আরও গভীর পার্শ্বীয় চলাচল সক্ষম করে। তারা বৈধ সিস্টেম অপারেশনের সাথে মিশে যাওয়ার জন্য স্ট্যান্ডার্ড আক্রমণ কৌশলগুলিকে কাস্টম বাস্তবায়নের সাথে একত্রিত করে। তাদের প্রচারণাটি নিম্নলিখিত বৈশিষ্ট্যগুলি দ্বারা চিহ্নিত করা হয়েছে:
- অ্যাক্সেস পরিমার্জন করার জন্য বারবার ট্রায়াল-এন্ড-এরর
- স্থিতিস্থাপকতা নিশ্চিত করার জন্য অপ্রয়োজনীয় পদ্ধতি
- সনাক্তকরণ এড়াতে বর্ধিত সেটআপ পদক্ষেপ
মূলে পরিচয়পত্র চুরি
আক্রমণকারীরা বারবার ডোমেন কন্ট্রোলার থেকে NTDS ডাটাবেস ফাইলগুলি বের করে দেওয়ার চেষ্টা করেছিল, পাসওয়ার্ড হ্যাশ এবং প্রমাণীকরণ ডেটা লক্ষ্য করে। তারা নির্বাচিত মেশিনগুলি থেকে LSASS মেমরি ডাম্প করারও চেষ্টা করেছিল, যার লক্ষ্য ছিল সম্ভাব্য প্লেইনটেক্সট পাসওয়ার্ড সহ সক্রিয় ব্যবহারকারীর শংসাপত্র পুনরুদ্ধার করা।
গোপনে বৈধ সরঞ্জামের অপব্যবহার
কার্লি কমরেডসের কার্যক্রমের একটি বৈশিষ্ট্য হল বিশ্বস্ত সফ্টওয়্যার এবং পরিষেবা ব্যবহার করে দূষিত কার্যকলাপ ঢাকতে। উল্লেখযোগ্য সরঞ্জামগুলির মধ্যে রয়েছে:
রিসকস, সক্স৫, এসএসএইচ এবং স্টানেল - অভ্যন্তরীণ নেটওয়ার্কগুলিতে একাধিক অ্যাক্সেস টানেল তৈরি করে এবং দূরবর্তী কমান্ড কার্যকরকরণ সক্ষম করে।
বৈধ-কিন্তু আপোষহীন ওয়েবসাইটগুলি - C2 ট্র্যাফিক এবং ডেটা এক্সফিল্ট্রেশনের জন্য গোপন রিলে হিসাবে কাজ করে, স্বাভাবিক নেটওয়ার্ক প্রবাহের সাথে মিশে যায়।
অতিরিক্ত অস্ত্রযুক্ত ইউটিলিটি:
- CurlCat – HTTPS-এর মাধ্যমে আপোস করা সাইটের মাধ্যমে দ্বিমুখী ডেটা স্থানান্তর
- RuRat – স্থায়ী নিয়ন্ত্রণের জন্য ব্যবহৃত একটি বৈধ RMM টুল
- মিমিকাৎজ - স্মৃতি থেকে প্রমাণপত্র সংগ্রহ
- অনুসন্ধানের জন্য সাধারণ উইন্ডোজ কমান্ড (নেটস্ট্যাট, টাস্কলিস্ট, সিস্টেমইনফো, আইপকনফিগ, পিং)
- গোপন তথ্য এক্সফিল্ট্রেশনের জন্য কার্ল সহ পাওয়ারশেল স্ক্রিপ্ট
মিউকোরএজেন্ট: একটি কাস্টম স্থায়িত্ব অস্ত্র
এই প্রচারণার কেন্দ্রবিন্দুতে রয়েছে MucorAgent, একটি বেসপোক .NET ব্যাকডোর যা COM ক্লাস আইডেন্টিফায়ার (CLSIDs) হাইজ্যাক করে যা নেটিভ ইমেজ জেনারেটর (Ngen) এর সাথে সংযুক্ত, একটি অন্তর্নির্মিত .NET ফ্রেমওয়ার্ক উপাদান।
Ngen, যদিও অ্যাসেম্বলিগুলিকে প্রাক-কম্পাইল করার জন্য ডিজাইন করা হয়েছে, একটি গোপন স্থায়িত্ব প্রক্রিয়া হিসাবে কাজ করতে পারে। আক্রমণকারীরা Ngen-এর সাথে সংযুক্ত একটি অক্ষম নির্ধারিত কাজকে কাজে লাগায়, যা মাঝে মাঝে অপ্রত্যাশিতভাবে ট্রিগার করে, নিষ্ক্রিয় সময় বা অ্যাপ্লিকেশন স্থাপনের সময়, তাদের অ্যালার্ম ট্রিগার না করেই SYSTEM-স্তরের অ্যাক্সেস পুনরুদ্ধার করতে দেয়।
মিউকোরএজেন্ট ইমপ্লান্ট তিনটি পর্যায়ে কাজ করে, এনক্রিপ্ট করা পাওয়ারশেল স্ক্রিপ্টগুলি কার্যকর করে এবং আক্রমণকারী-নিয়ন্ত্রিত সার্ভারগুলিতে ফলাফল পাঠায়। পেলোডগুলি মেমরিতে লোড করা হয় এবং পরে তাৎক্ষণিকভাবে মুছে ফেলা হয়, যার ফলে ন্যূনতম ফরেনসিক চিহ্ন থাকে।
পদ্ধতিগত, অভিযোজিত, এবং গোপন-প্রথম
কার্লি কমরেডরা নতুনত্বের চেয়ে গোপনীয়তাকে অগ্রাধিকার দেয়, শূন্য-দিনের দুর্বলতা কাজে লাগানোর পরিবর্তে পাবলিক টুলস, ওপেন-সোর্স ইউটিলিটি এবং LOLBins-এর উপর নির্ভর করে। তাদের কার্যক্রম কম-শব্দের স্থায়িত্ব এবং অভিযোজনযোগ্যতার উপর জোর দেয়, সন্দেহ না করে দীর্ঘমেয়াদী নিয়ন্ত্রণ বজায় রাখার জন্য সাধারণ এবং কাস্টমাইজড উভয় সরঞ্জাম ব্যবহার করে।
