Curly COMrades APT
Varem dokumenteerimata küberrünnakute rühmitust nimega Curly COMrades on täheldatud sihtimas kõrgetasemelisi üksusi Gruusias ja Moldovas. See kampaania näib olevat suunatud pikaajalisele infiltreerumisele ja luureandmete kogumisele sihtvõrgustikes. Rühmituse tegevus näitab kalkuleeritud, järjekindlat ja varjatud lähenemist, mis on kooskõlas Venemaa geopoliitiliste huvidega.
Sisukord
Kõrge väärtusega sihtmärgid ja varajane tegevus
Alates 2024. aasta keskpaigast on rühmitus keskendunud Gruusia kohtu- ja valitsusasutustele ning Moldova energiajaotusettevõttele. Rünnaku esemete analüüs näitab, et operatsioon algas varem kui esialgu arvati, nende kohandatud tagaukse MucorAgent varaseim kinnitatud kasutus pärineb 2023. aasta novembrist, kuigi tegevus algas tõenäoliselt juba enne seda.
Strateegilised eesmärgid ja taktika
Curly COMrades'i lõppeesmärk on pikendatud võrguühendus, mis võimaldab luuret, volituste varastamist ja sügavamat külgmist liikumist. Nad ühendavad standardseid rünnakutehnikaid kohandatud rakendustega, et sulanduda legitiimsete süsteemitoimingutega. Nende kampaaniat iseloomustab:
- Juurdepääsu täpsustamiseks korduv katse-eksituse meetod
- Üleliigsed meetodid vastupidavuse tagamiseks
- Järkjärgulised seadistusetapid tuvastamise vältimiseks
Volituste vargus tuumas
Ründajad üritasid korduvalt domeenikontrolleritest NTDS-i andmebaasifaile välja filtreerida, sihtides parooliräsisid ja autentimisandmeid. Samuti üritasid nad valitud masinatest LSASS-mälu välja võtta, eesmärgiga taastada aktiivsete kasutajate volitusi, sealhulgas võimalikke lihtteksti paroole.
Seaduslike tööriistade kuritarvitamine varjatud tegutsemiseks
Curly COMradesi tegevuse tunnusjooneks on usaldusväärse tarkvara ja teenuste kasutamine pahatahtliku tegevuse varjamiseks. Märkimisväärsete tööriistade hulka kuuluvad:
Resocks, SOCKS5, SSH ja Stunnel – mitmete juurdepääsutunnelite loomine sisemistesse võrkudesse ja käskude kaugkäivitamise võimaldamine.
Legaalsed, kuid ohustatud veebisaidid – toimivad salajaste vahendajatena C2-liikluse ja andmete väljaviimise jaoks, sulandudes tavapäraste võrguvoogudega.
Täiendavad relvastatud vahendid:
- CurlCat – kahesuunaline andmeedastus HTTPS-i kaudu ohustatud saitide kaudu
- RuRat – legitiimne RMM-tööriist püsivaks kontrolliks
- Mimikatz – volituste kogumine mälust
- Levinumad Windowsi käsud (netstat, tasklist, systeminfo, ipconfig, ping) luureks
- PowerShelli skriptid Curliga andmete salajaseks väljavooluks
MucorAgent: kohandatud püsivuse relv
Kampaania keskmes on MucorAgent, spetsiaalselt loodud .NET-i tagauks, mis kaaperdab COM-klassi identifikaatoreid (CLSID-sid), mis on lingitud sisseehitatud .NET Frameworki komponendi Native Image Generatoriga (Ngen).
Kuigi Ngen on loodud assemblerite eelkompileerimiseks, võib see toimida varjatud püsivusmehhanismina. Ründajad kasutavad ära Ngeniga seotud keelatud ajastatud ülesannet, mis aeg-ajalt ootamatult käivitub, näiteks jõudeoleku või rakenduste juurutamise ajal, võimaldades neil taastada SÜSTEEMI tasemel juurdepääsu ilma alarme käivitamata.
MucorAgenti implantaat töötab kolmes etapis, käivitades krüpteeritud PowerShelli skripte ja saates tulemused ründaja kontrollitavatele serveritele. Kasulik koormus laaditakse mällu ja kustutatakse kohe pärast seda, jättes minimaalselt kohtuekspertiisi jälgi.
Metoodiline, kohanemisvõimeline ja varjatult tegutsev
Curly COMrade’id eelistavad uudsusele pigem varjatud lähenemist kui uudsust, tuginedes avalikele tööriistadele, avatud lähtekoodiga utiliitidele ja LOLBinidele, selle asemel et ära kasutada nullpäeva haavatavusi. Nende tegevuses rõhutatakse madalat mürataset ja kohanemisvõimet, kasutades nii tavalisi kui ka kohandatud tööriistu pikaajalise kontrolli säilitamiseks ilma kahtlust tekitamata.
