Kudrnaté COMrades APT
Byla pozorována dříve nezdokumentovaná skupina kybernetických hrozeb s názvem Curly COMrades, která se zaměřuje na významné subjekty v Gruzii a Moldavsku. Zdá se, že tato kampaň je zaměřena na dlouhodobou infiltraci a shromažďování zpravodajských informací v rámci cílových sítí. Aktivity skupiny odhalují promyšlený, vytrvalý a nenápadný přístup, který je v souladu s geopolitickými zájmy Ruska.
Obsah
Cíle s vysokou hodnotou a včasná aktivita
Od poloviny roku 2024 se skupina zaměřuje na soudní a vládní orgány v Gruzii a na energetickou distribuční společnost v Moldavsku. Analýza artefaktů útoku ukazuje, že operace začala dříve, než se původně předpokládalo. Nejstarší potvrzené použití jejich vlastního backdooru MucorAgent pochází z listopadu 2023, ačkoli aktivita pravděpodobně začala již dříve.
Strategické cíle a taktiky
Cílem Curly COMrades je prodloužený přístup k síti, který umožňuje průzkum, krádeže přihlašovacích údajů a hlubší laterální pohyb. Kombinují standardní útočné techniky s vlastními implementacemi, aby splynuly s legitimními operacemi systému. Jejich kampaň se vyznačuje:
- Opakované pokusy a omyly pro zpřesnění přístupu
- Redundantní metody pro zajištění odolnosti
- Postupné nastavení, aby se zabránilo detekci
Krádež pověřovacích údajů v jádru
Útočníci se opakovaně pokoušeli získat soubory databáze NTDS z řadičů domény, přičemž cílili na hashe hesel a ověřovací data. Také se pokusili vypsat výpis paměti LSASS z vybraných počítačů s cílem získat aktivní uživatelské přihlašovací údaje, včetně možných hesel v prostém textu.
Zneužívání legitimních nástrojů pro utajení
Charakteristickým znakem činnosti společnosti Curly COMrades je používání důvěryhodného softwaru a služeb k maskování škodlivé aktivity. Mezi významné nástroje patří:
Resocks, SOCKS5, SSH a Stunnel – vytváření více přístupových tunelů do interních sítí a umožnění vzdáleného provádění příkazů.
Legitimní, ale kompromitované webové stránky – fungující jako skryté předávací kanály pro provoz C2 a úniky dat, které se mísí s běžnými síťovými toky.
Další zbraně:
- CurlCat – obousměrný přenos dat přes HTTPS přes napadené weby
- RuRat – legitimní nástroj RMM používaný pro trvalou kontrolu
- Mimikatz – získávání pověření z paměti
- Běžné příkazy systému Windows (netstat, tasklist, systeminfo, ipconfig, ping) pro průzkum
- PowerShellové skripty s Curl pro nenápadné odhalování dat
MucorAgent: Zbraň pro vytrvalost na míru
Jádrem kampaně je MucorAgent, zakázkový backdoor pro .NET, který zneužívá identifikátory tříd COM (CLSID) propojené s Native Image Generator (Ngen), což je vestavěná komponenta .NET Framework.
Ngen, ačkoli je navržen pro předkompilaci sestav, může sloužit jako skrytý mechanismus perzistence. Útočníci zneužívají zakázanou naplánovanou úlohu vázanou na Ngen, která se občas spouští nepředvídatelně, během nečinnosti nebo nasazení aplikací, což jim umožňuje obnovit přístup na úrovni SYSTÉMU bez spuštění alarmů.
Implantát MucorAgent funguje ve třech fázích: spouští šifrované PowerShellové skripty a odesílá výsledky na servery ovládané útočníkem. Datové části se načtou do paměti a ihned poté smažou, čímž zanechávají minimální forenzní stopy.
Metodický, adaptivní a nenápadný
Curly COMrades dávají přednost nenápadnosti před novostí a spoléhají se na veřejné nástroje, open-source utility a LOLBiny, spíše než na zneužívání zranitelností typu zero-day. Jejich operace kladou důraz na nízkošumovou perzistenci a přizpůsobivost a používají běžné i přizpůsobené nástroje k udržení dlouhodobé kontroly, aniž by vzbudily podezření.
