Curly COMrades APT

קבוצת איומי סייבר שלא תועדה בעבר, המכונה Curly COMrades, נצפתה כשהיא מכוונת נגד גופים בעלי פרופיל גבוה בגאורגיה ובמולדובה. נראה כי קמפיין זה מכוון לחדירה ארוכת טווח ואיסוף מודיעין בתוך רשתות ממוקדות. פעילות הקבוצה חושפת גישה מחושבת, מתמדת וחשאית, התואמת את האינטרסים הגיאופוליטיים של רוסיה.

מטרות בעלות ערך גבוה ופעילות מוקדמת

מאז אמצע 2024, הקבוצה התמקדה בגופים משפטיים וממשלתיים בגאורגיה ובחברת הפצת אנרגיה במולדובה. ניתוח של ממצאי התקיפה מראה שהמבצע החל מוקדם מהצפוי, השימוש המאושר המוקדם ביותר בדלת האחורית המותאמת אישית שלהם, MucorAgent, מתוארך לנובמבר 2023, אם כי הפעילות ככל הנראה החלה לפני כן.

מטרות אסטרטגיות וטקטיקות

המטרה הסופית של Curly COMrades היא גישה ממושכת לרשת, המאפשרת סיור, גניבת אישורים ותנועה רוחבית עמוקה יותר. הם משלבים טכניקות תקיפה סטנדרטיות עם יישומים מותאמים אישית כדי להשתלב עם פעולות מערכת לגיטימיות. הקמפיין שלהם מאופיין ב:

• ניסוי וטעייה חוזרים ונשנים כדי לחדד את הגישה
• שיטות מיותרות להבטחת חוסן
• שלבי הגדרה מצטברים כדי למנוע זיהוי

גניבת אישורים בבסיסה

התוקפים ניסו שוב ושוב לחלץ קבצי מסד נתונים של NTDS מבקרי תחום, תוך התמקדות בגיבוב סיסמאות ונתוני אימות. הם גם ניסו למחוק זיכרון LSASS ממכונות נבחרות, במטרה לשחזר פרטי משתמש פעילים, כולל סיסמאות טקסט פשוט אפשריות.

ניצול לרעה של כלים לגיטימיים לצורך התגנבות

סימן היכר של פעילותה של Curly COMrades הוא השימוש בתוכנות ושירותים מהימנים כדי להסוות פעילות זדונית. בין הכלים הבולטים נמנים:

Resocks, SOCKS5, SSH ו-Stunnel – יצירת מנהרות גישה מרובות לרשתות פנימיות ומאפשרות ביצוע פקודות מרחוק.

אתרים לגיטימיים אך פרוצים – משמשים כממסרים סמויים לתעבורת C2 וחילוץ נתונים, ומתמזגים עם זרימות רשת רגילות.

כלי עזר נוספים המיועד לנשק:

• CurlCat – העברת נתונים דו-כיוונית דרך HTTPS דרך אתרים שנפרצו

• RuRat – כלי RMM לגיטימי המשמש לבקרה מתמשכת

• מימיקץ – קצירת אישורים מהזיכרון

• פקודות נפוצות של Windows (netstat, tasklist, systeminfo, ipconfig, ping) לצורך סיור

• סקריפטים של PowerShell עם curl לסינון נתונים חשאי

MucorAgent: נשק התמדה מותאם אישית

בלב הקמפיין נמצא MucorAgent, דלת אחורית בהתאמה אישית ל-.NET שחוטפת מזהי מחלקות COM (CLSIDs) המקושרים למחולל התמונות הנייטיב (Ngen), רכיב מובנה ב-.NET Framework.

Ngen, למרות שתוכנן לבצע קומפילציה מקדימה של אסמבלי, יכול לשמש כמנגנון שמירה סמוי. התוקפים מנצלים משימה מתוזמנת מושבתת הקשורה ל-Ngen, אשר מופעלת מדי פעם באופן בלתי צפוי, בזמן סרק או פריסת יישומים, מה שמאפשר להם לשחזר גישה ברמת המערכת מבלי להפעיל התראות.

שתל MucorAgent פועל בשלושה שלבים, מבצע סקריפטים מוצפנים של PowerShell ושליחת התוצאות לשרתים הנשלטים על ידי התוקף. המטענים נטענים לזיכרון ונמחקים מיד לאחר מכן, ומשאירים עקבות פורנזיים מינימליים.

שיטתי, אדפטיבי, וחמקמק

מערכות Curly COMrades מפגינות העדפה לחמקנות על פני חידוש, תוך הסתמכות על כלים ציבוריים, כלי עזר בקוד פתוח ו-LOLBins במקום ניצול פגיעויות של יום אפס. פעולותיהן שמות דגש על עמידות והתאמה בעלות רעש נמוך, תוך שימוש בכלים נפוצים ומותאמים אישית כאחד כדי לשמור על שליטה ארוכת טווח מבלי לעורר חשד.