Curly COMrades APT
En tidligere udokumenteret cybertrusselsgruppe, kaldet Curly COMrades, er blevet observeret rettet mod højprofilerede enheder i Georgien og Moldova. Denne kampagne synes at være rettet mod langsigtet infiltration og efterretningsindsamling inden for målrettede netværk. Gruppens aktiviteter afslører en beregnet, vedholdende og stealth-orienteret tilgang, der er i overensstemmelse med Ruslands geopolitiske interesser.
Indholdsfortegnelse
Højværdimål og tidlig aktivitet
Siden midten af 2024 har gruppen fokuseret på retslige og offentlige organer i Georgien og et energidistributionsselskab i Moldova. Analyse af angrebsartefakter viser, at operationen begyndte tidligere end først antaget. Den tidligste bekræftede brug af deres specialbyggede bagdør, MucorAgent, går tilbage til november 2023, selvom aktiviteten sandsynligvis startede før da.
Strategiske mål og taktikker
Slutmålet for Curly COMrades er forlænget netværksadgang, der muliggør rekognoscering, tyveri af legitimationsoplysninger og dybere lateral bevægelse. De kombinerer standard angrebsteknikker med brugerdefinerede implementeringer for at blande sig med legitime systemoperationer. Deres kampagne er kendetegnet ved:
- Gentagne forsøg og fejl for at forbedre adgangen
- Redundante metoder til at sikre robusthed
- Trinvise opsætningstrin for at undgå detektion
Legitimationstyveri i kernen
Angriberne forsøgte gentagne gange at tømme NTDS-databasefiler fra domænecontrollere, målrettet mod adgangskode-hashes og godkendelsesdata. De forsøgte også at dumpe LSASS-hukommelse fra udvalgte maskiner med det formål at gendanne aktive brugerlegitimationsoplysninger, herunder mulige adgangskoder i klartekst.
Misbrug af legitime værktøjer til stealth
Et kendetegn ved Curly COMrades' drift er brugen af pålidelig software og tjenester til at maskere ondsindet aktivitet. Blandt de bemærkelsesværdige værktøjer er:
Resocks, SOCKS5, SSH og Stunnel – opretter flere adgangstunneler til interne netværk og muliggør fjernudførelse af kommandoer.
Legitime, men kompromitterede websteder – der fungerer som skjulte relæer for C2-trafik og dataudvinding, og blander sig med normale netværksstrømme.
Yderligere bevæbnede værktøjer:
- CurlCat – tovejs dataoverførsel via HTTPS via kompromitterede websteder
MucorAgent: Et brugerdefineret vedholdenhedsvåben
Kernen i kampagnen er MucorAgent, en skræddersyet .NET-bagdør, der kaprer COM-klasseidentifikatorer (CLSID'er), der er knyttet til Native Image Generator (Ngen), en indbygget .NET Framework-komponent.
Ngen er designet til at prækompilere assembleringer, men kan fungere som en skjult persistensmekanisme. Angriberne udnytter en deaktiveret planlagt opgave knyttet til Ngen, som lejlighedsvis udløses uforudsigeligt under inaktivitet eller applikationsinstallationer, hvilket giver dem mulighed for at gendanne adgang på SYSTEM-niveau uden at udløse alarmer.
MucorAgent-implantatet fungerer i tre faser, hvor det udfører krypterede PowerShell-scripts og sender resultaterne til angriberkontrollerede servere. Nyttelaster indlæses i hukommelsen og slettes umiddelbart bagefter, hvilket efterlader minimale retsmedicinske spor.
Metodisk, adaptiv og skjult
Curly COMrades udviser en præference for stealth frem for nyhed, idet de bruger offentlige værktøjer, open source-værktøjer og LOLBins i stedet for at udnytte zero-day-sårbarheder. Deres operationer lægger vægt på lav støj vedholdenhed og tilpasningsevne, idet de bruger både almindelige og tilpassede værktøjer til at opretholde langsigtet kontrol uden at vække mistanke.
