Curly Comrades APT
S'ha observat que un grup d'amenaces cibernètiques prèviament indocumentat, anomenat Curly COMrades, té com a objectiu entitats d'alt perfil a Geòrgia i Moldàvia. Aquesta campanya sembla estar orientada a la infiltració a llarg termini i la recopilació d'intel·ligència dins de xarxes objectiu. Les activitats del grup revelen un enfocament calculat, persistent i orientat al furt alineat amb els interessos geopolítics de Rússia.
Taula de continguts
Objectius d'alt valor i activitat primerenca
Des de mitjans del 2024, el grup s'ha centrat en organismes judicials i governamentals de Geòrgia i en una empresa de distribució d'energia a Moldàvia. L'anàlisi dels artefactes de l'atac mostra que l'operació va començar abans del que es pensava inicialment; el primer ús confirmat de la seva porta del darrere personalitzada, MucorAgent, data del novembre del 2023, tot i que l'activitat probablement va començar abans d'aquesta data.
Objectius estratègics i tàctiques
L'objectiu final de Curly COMrades és l'accés prolongat a la xarxa, permetent el reconeixement, el robatori de credencials i un moviment lateral més profund. Combinen tècniques d'atac estàndard amb implementacions personalitzades per integrar-se amb les operacions legítimes del sistema. La seva campanya es caracteritza per:
- Proves i errors repetides per refinar l'accés
- Mètodes redundants per garantir la resiliència
- Passos de configuració incrementals per evitar la detecció
Robatori de credencials al nucli
Els atacants van intentar repetidament exfiltrar fitxers de base de dades NTDS dels controladors de domini, atacant els hashes de contrasenyes i les dades d'autenticació. També van intentar abocar la memòria LSASS de màquines seleccionades, amb l'objectiu de recuperar les credencials dels usuaris actius, incloses possibles contrasenyes de text sense format.
Abús d'eines legítimes per a l'amagat
Un tret distintiu de les operacions de Curly COMrades és l'ús de programari i serveis de confiança per emmascarar l'activitat maliciosa. Entre les eines més destacades hi ha:
Resocks, SOCKS5, SSH i Stunnel : creació de múltiples túnels d'accés a xarxes internes i habilitació de l'execució remota d'ordres.
Llocs web legítims però compromesos : actuen com a relés encoberts per al trànsit C2 i l'exfiltració de dades, barrejant-se amb els fluxos de xarxa normals.
Utilitats addicionals convertides en armes:
- CurlCat: transferència bidireccional de dades sobre HTTPS a través de llocs compromesos
MucorAgent: Una arma de persistència personalitzada
Al cor de la campanya hi ha MucorAgent, una porta del darrere .NET feta a mida que segresta els identificadors de classe COM (CLSID) vinculats al generador d'imatges natives (Ngen), un component integrat de .NET Framework.
Ngen, tot i que està dissenyat per precompilar assembladors, pot servir com a mecanisme de persistència encobert. Els atacants exploten una tasca programada desactivada vinculada a Ngen, que ocasionalment s'activa de manera imprevisible, durant temps d'inactivitat o desplegaments d'aplicacions, cosa que els permet restaurar l'accés a nivell de SISTEMA sense activar alarmes.
L'implant de MucorAgent funciona en tres etapes: executa scripts de PowerShell xifrats i envia els resultats als servidors controlats per l'atacant. Les càrregues útils es carreguen a la memòria i s'eliminen immediatament després, deixant un mínim de rastres forenses.
Metòdic, adaptatiu i discret
Els Curly COMrades demostren una preferència per la furtivitat per sobre de la novetat, basant-se en eines públiques, utilitats de codi obert i LOLBins en lloc d'explotar vulnerabilitats de dia zero. Les seves operacions emfatitzen la persistència i l'adaptabilitat de baix soroll, utilitzant eines comunes i personalitzades per mantenir el control a llarg termini sense aixecar sospites.
