Curly COMrades APT

یک گروه تهدید سایبری که قبلاً ثبت نشده بود، با نام Curly COMrades، مشاهده شده است که نهادهای برجسته در گرجستان و مولداوی را هدف قرار می‌دهد. به نظر می‌رسد این کمپین با هدف نفوذ بلندمدت و جمع‌آوری اطلاعات در شبکه‌های هدف طراحی شده است. فعالیت‌های این گروه، رویکردی محاسبه‌شده، مداوم و مخفیانه را نشان می‌دهد که همسو با منافع ژئوپلیتیکی روسیه است.

اهداف با ارزش بالا و فعالیت اولیه

از اواسط سال ۲۰۲۴، این گروه بر نهادهای قضایی و دولتی در گرجستان و یک شرکت توزیع انرژی در مولداوی تمرکز کرده است. تجزیه و تحلیل آثار حمله نشان می‌دهد که این عملیات زودتر از آنچه در ابتدا تصور می‌شد، آغاز شده است. اولین استفاده تأیید شده از درب پشتی سفارشی آنها، MucorAgent، به نوامبر ۲۰۲۳ برمی‌گردد، اگرچه احتمالاً فعالیت آنها قبل از آن زمان آغاز شده است.

اهداف و تاکتیک‌های استراتژیک

هدف نهایی Curly COMrades دسترسی طولانی مدت به شبکه است که امکان شناسایی، سرقت اطلاعات کاربری و حرکات جانبی عمیق‌تر را فراهم می‌کند. آن‌ها تکنیک‌های حمله استاندارد را با پیاده‌سازی‌های سفارشی ترکیب می‌کنند تا با عملیات قانونی سیستم‌ها ترکیب شوند. کمپین آن‌ها با موارد زیر مشخص می‌شود:

• آزمون و خطای مکرر برای اصلاح دسترسی
• روش‌های اضافی برای تضمین انعطاف‌پذیری
• مراحل راه‌اندازی افزایشی برای جلوگیری از شناسایی

سرقت اطلاعات هویتی در هسته

مهاجمان بارها تلاش کردند تا فایل‌های پایگاه داده NTDS را از کنترل‌کننده‌های دامنه استخراج کنند و هش‌های رمز عبور و داده‌های احراز هویت را هدف قرار دهند. آن‌ها همچنین سعی کردند حافظه LSASS را از دستگاه‌های منتخب تخلیه کنند، با هدف بازیابی اعتبارنامه‌های فعال کاربران، از جمله رمزهای عبور متن ساده احتمالی.

سوءاستفاده از ابزارهای قانونی برای مخفی‌کاری

یکی از ویژگی‌های بارز عملیات Curly COMrades استفاده از نرم‌افزارها و سرویس‌های قابل اعتماد برای پنهان کردن فعالیت‌های مخرب است. ابزارهای قابل توجه عبارتند از:

Resocks، SOCKS5، SSH و Stunnel - ایجاد تونل‌های دسترسی چندگانه به شبکه‌های داخلی و فعال کردن اجرای دستورات از راه دور.

وب‌سایت‌های قانونی اما در معرض خطر - به عنوان رله‌های مخفی برای ترافیک C2 و استخراج داده‌ها عمل می‌کنند و با جریان‌های عادی شبکه ترکیب می‌شوند.

ابزارهای اضافی برای مسلح شدن:

• CurlCat - انتقال دو طرفه داده‌ها از طریق HTTPS از طریق سایت‌های آسیب‌پذیر

• RuRat - یک ابزار RMM قانونی که برای کنترل مداوم استفاده می‌شود

• Mimikatz - برداشت اعتبار از حافظه

• دستورات رایج ویندوز (netstat، tasklist، systeminfo، ipconfig، ping) برای شناسایی

• اسکریپت‌های پاورشل با curl برای استخراج مخفیانه داده‌ها

MucorAgent: یک سلاح پایدار سفارشی

در قلب این کمپین، MucorAgent قرار دارد، یک درب پشتی سفارشی .NET که شناسه‌های کلاس COM (CLSID) مرتبط با تولیدکننده تصویر بومی (Ngen)، یک جزء داخلی چارچوب .NET، را می‌رباید.

Ngen، اگرچه برای پیش‌کامپایل کردن اسمبلی‌ها طراحی شده است، اما می‌تواند به عنوان یک مکانیسم پایداری پنهان عمل کند. مهاجمان از یک وظیفه زمان‌بندی‌شده غیرفعال مرتبط با Ngen سوءاستفاده می‌کنند که گاهی اوقات به طور غیرقابل پیش‌بینی، در زمان‌های بیکاری یا استقرار برنامه، فعال می‌شود و به آنها اجازه می‌دهد بدون ایجاد هشدار، دسترسی سطح SYSTEM را بازیابی کنند.

بدافزار MucorAgent در سه مرحله عمل می‌کند، اسکریپت‌های رمزگذاری‌شده PowerShell را اجرا می‌کند و نتایج را به سرورهای تحت کنترل مهاجم ارسال می‌کند. فایل‌های مخرب در حافظه بارگذاری شده و بلافاصله پس از آن حذف می‌شوند و کمترین ردپای قانونی را از خود به جا می‌گذارند.

روشمند، تطبیقی و مخفی‌کاری

گروه‌های هکری Curly COMrades به جای استفاده از آسیب‌پذیری‌های روز صفر، مخفی‌کاری را به نوآوری ترجیح می‌دهند و به ابزارهای عمومی، ابزارهای متن‌باز و LOLBinها متکی هستند. عملیات آنها بر پایداری و سازگاری کم‌صدا تأکید دارد و از ابزارهای رایج و سفارشی برای حفظ کنترل بلندمدت بدون ایجاد سوءظن استفاده می‌کند.