Curly COMrades APT
Aiemmin dokumentoimattoman kyberuhkaryhmän, Curly COMradesin, on havaittu kohdistavan iskujaan korkean profiilin toimijoihin Georgiassa ja Moldovassa. Kampanja näyttää olevan suunnattu pitkäaikaiseen soluttautumiseen ja tiedustelutietojen keräämiseen kohdennetuissa verkostoissa. Ryhmän toiminta paljastaa laskelmoidun, sinnikkään ja hiiviskelyyn perustuvan lähestymistavan, joka on linjassa Venäjän geopoliittisten etujen kanssa.
Sisällysluettelo
Arvokkaat kohteet ja varhainen toiminta
Vuoden 2024 puolivälistä lähtien ryhmä on keskittynyt Georgian oikeus- ja hallintoelimiin sekä Moldovan energianjakeluyhtiöön. Hyökkäysesineiden analyysi osoittaa, että operaatio alkoi aiemmin kuin alun perin luultiin. Heidän mukautettua takaporttiaan, MucorAgentia, on vahvistettu käytettyä aiemmin marraskuussa 2023, vaikka toiminta on todennäköisesti alkanut jo ennen sitä.
Strategiset tavoitteet ja taktiikat
Curly COMradesin tavoitteena on pitkäaikainen verkkoyhteys, joka mahdollistaa tiedustelun, tunnistetietojen varastamisen ja syvemmän sivuttaisliikkeen. He yhdistävät vakiohyökkäystekniikoita mukautettuihin toteutuksiin sulautuakseen laillisiin järjestelmätoimintoihin. Heidän kampanjaansa leimaa:
- Toistuva kokeilu ja erehdys käyttöoikeuden tarkentamiseksi
- Redundantteja menetelmiä sietokyvyn varmistamiseksi
- Asennusvaiheet havaitsemisen välttämiseksi
Valtakirjojen varkaus ytimessä
Hyökkääjät yrittivät toistuvasti varastaa NTDS-tietokantatiedostoja toimialueen ohjauskoneista kohdistaen hyökkäyksiä salasanahajautuksiin ja todennustietoihin. He yrittivät myös tyhjentää LSASS-muistia valituista koneista tavoitteenaan palauttaa aktiivisten käyttäjien tunnistetiedot, mukaan lukien mahdolliset selkokieliset salasanat.
Laillisten työkalujen väärinkäyttö piilotoimien tarkoituksiin
Curly COMradesin toiminnan tunnusmerkki on luotettavien ohjelmistojen ja palveluiden käyttö haitallisen toiminnan peittämiseen. Merkittäviä työkaluja ovat:
Resocks, SOCKS5, SSH ja Stunnel – useiden tunnelien luominen sisäisiin verkkoihin ja komentojen etäsuorituksen mahdollistaminen.
Lailliset mutta vaarantuneet verkkosivustot – toimivat peitellyinä välittäjinä C2-liikenteelle ja tiedonsiirrolle, sekoittuen normaaleihin verkkovirtoihin.
Muita aseistettuja apuohjelmia:
- CurlCat – kaksisuuntainen tiedonsiirto HTTPS:n kautta vaarantuneiden sivustojen kautta
MucorAgent: Mukautettu pysyvyysase
Kampanjan ytimessä on MucorAgent, räätälöity .NET-takaovi, joka kaappaa .NET Frameworkin sisäänrakennettuun Native Image Generatoriin (Ngen) linkitettyjä COM-luokkatunnisteita (CLSID).
Vaikka Ngen on suunniteltu kokoonpanojen esikääntämiseen, se voi toimia peitellynä pysyvyysmekanismina. Hyökkääjät hyödyntävät Ngeniin sidottua käytöstä poistettua ajoitettua tehtävää, joka toisinaan käynnistyy odottamatta esimerkiksi lepotilassa tai sovellusten käyttöönoton aikana, jolloin he voivat palauttaa JÄRJESTELMÄ-tason käyttöoikeudet laukaisematta hälytyksiä.
MucorAgent-implantti toimii kolmessa vaiheessa: se suorittaa salattuja PowerShell-skriptejä ja lähettää tulokset hyökkääjän hallitsemille palvelimille. Hyötykuormat ladataan muistiin ja poistetaan välittömästi sen jälkeen, jolloin rikostekniset jäljet jäävät mahdollisimman vähän.
Metodologinen, mukautuva ja huomaavainen
Curly COMrade -käyttäjät suosivat häiveominaisuuksia uutuuden sijaan ja luottavat julkisiin työkaluihin, avoimen lähdekoodin apuohjelmiin ja LOLBin-ohjelmiin nollapäivähaavoittuvuuksien hyödyntämisen sijaan. Heidän toimintansa painottaa hiljaista pysyvyyttä ja sopeutumiskykyä, ja he käyttävät sekä yleisiä että räätälöityjä työkaluja pitkäaikaisen hallinnan ylläpitämiseksi herättämättä epäilyksiä.
