Curly COMrades APT

कर्ली कॉमरेड्स नामक एक पूर्व-अज्ञात साइबर ख़तरा समूह को जॉर्जिया और मोल्दोवा में उच्च-स्तरीय संस्थाओं को निशाना बनाते हुए देखा गया है। ऐसा प्रतीत होता है कि यह अभियान लक्षित नेटवर्कों में दीर्घकालिक घुसपैठ और ख़ुफ़िया जानकारी एकत्र करने के लिए लक्षित है। समूह की गतिविधियाँ रूस के भू-राजनीतिक हितों के अनुरूप एक सुनियोजित, निरंतर और गुप्त-उन्मुख दृष्टिकोण को दर्शाती हैं।

उच्च-मूल्य लक्ष्य और प्रारंभिक गतिविधि

2024 के मध्य से, समूह ने जॉर्जिया में न्यायिक और सरकारी निकायों और मोल्दोवा की एक ऊर्जा वितरण कंपनी पर ध्यान केंद्रित किया है। हमले की कलाकृतियों के विश्लेषण से पता चलता है कि यह अभियान पहले की अपेक्षा पहले ही शुरू हो गया था, और उनके कस्टम बैकडोर, म्यूकोरएजेंट का सबसे पहला पुष्ट उपयोग नवंबर 2023 में हुआ था, हालाँकि गतिविधि संभवतः उससे पहले शुरू हो गई थी।

रणनीतिक लक्ष्य और रणनीतियाँ

कर्ली कॉमरेड्स का अंतिम लक्ष्य नेटवर्क तक लंबी पहुँच बनाना है, जिससे जासूसी, क्रेडेंशियल चोरी और गहरी पार्श्व गतिविधि संभव हो जाती है। वे मानक आक्रमण तकनीकों को कस्टम कार्यान्वयनों के साथ जोड़कर वैध सिस्टम संचालन के साथ तालमेल बिठाते हैं। उनके अभियान की विशेषताएँ हैं:

• पहुँच को परिष्कृत करने के लिए बार-बार परीक्षण और त्रुटि
• लचीलापन सुनिश्चित करने के लिए अनावश्यक तरीके
• पता लगाने से बचने के लिए वृद्धिशील सेटअप चरण

क्रेडेंशियल चोरी का मूल

हमलावरों ने पासवर्ड हैश और प्रमाणीकरण डेटा को निशाना बनाकर डोमेन नियंत्रकों से NTDS डेटाबेस फ़ाइलों को बार-बार निकालने की कोशिश की। उन्होंने चुनिंदा मशीनों से LSASS मेमोरी को डंप करने की भी कोशिश की, जिसका उद्देश्य संभावित प्लेनटेक्स्ट पासवर्ड सहित सक्रिय उपयोगकर्ता क्रेडेंशियल्स को पुनर्प्राप्त करना था।

चोरी-छिपे वैध साधनों का दुरुपयोग

कर्ली कॉमरेड्स के संचालन की एक खासियत दुर्भावनापूर्ण गतिविधियों को छिपाने के लिए विश्वसनीय सॉफ़्टवेयर और सेवाओं का उपयोग है। उल्लेखनीय उपकरण निम्नलिखित हैं:

रीसॉक्स, सॉक्स5, एसएसएच, और स्टनल - आंतरिक नेटवर्क में बहु-पहुंच सुरंगों का निर्माण करना और दूरस्थ कमांड निष्पादन को सक्षम करना।

वैध-परन्तु-समझौता वाली वेबसाइटें - C2 ट्रैफिक और डेटा निष्कासन के लिए गुप्त रिले के रूप में कार्य करती हैं, तथा सामान्य नेटवर्क प्रवाह के साथ मिश्रित हो जाती हैं।

अतिरिक्त हथियारबंद उपयोगिताएँ:

• कर्लकैट - समझौता किए गए साइटों के माध्यम से HTTPS पर द्विदिश डेटा स्थानांतरण

• RuRat - निरंतर नियंत्रण के लिए उपयोग किया जाने वाला एक वैध RMM उपकरण

• मिमिकैट्ज़ - स्मृति से क्रेडेंशियल संग्रहण

• टोही के लिए सामान्य विंडोज़ कमांड (नेटस्टैट, टास्कलिस्ट, सिस्टमइन्फो, आईपीकॉन्फिग, पिंग)

• गुप्त डेटा निष्कासन के लिए कर्ल युक्त पावरशेल स्क्रिप्ट

म्यूकोरएजेंट: एक कस्टम दृढ़ता हथियार

इस अभियान के केंद्र में MucorAgent है, जो एक विशेष .NET बैकडोर है, जो .NET फ्रेमवर्क के एक अंतर्निहित घटक, Native Image Generator (Ngen) से जुड़े COM क्लास आइडेंटिफायर्स (CLSIDs) को हाईजैक करता है।

Ngen, हालांकि असेंबली को पूर्व-संकलित करने के लिए डिज़ाइन किया गया है, एक गुप्त दृढ़ता तंत्र के रूप में काम कर सकता है। हमलावर Ngen से जुड़े एक अक्षम शेड्यूल किए गए कार्य का फायदा उठाते हैं, जो कभी-कभी निष्क्रिय समय या एप्लिकेशन परिनियोजन के दौरान अप्रत्याशित रूप से ट्रिगर हो जाता है, जिससे उन्हें अलार्म ट्रिगर किए बिना सिस्टम-स्तरीय पहुँच बहाल करने की अनुमति मिलती है।

म्यूकोरएजेंट इम्प्लांट तीन चरणों में काम करता है: एन्क्रिप्टेड पावरशेल स्क्रिप्ट निष्पादित करना और परिणामों को हमलावर-नियंत्रित सर्वरों को भेजना। पेलोड को मेमोरी में लोड किया जाता है और तुरंत बाद हटा दिया जाता है, जिससे न्यूनतम फोरेंसिक निशान रह जाते हैं।

पद्धतिगत, अनुकूली, और गुप्त-प्रथम

कर्ली कॉमरेड्स नवीनता की बजाय गोपनीयता को प्राथमिकता देते हैं, और शून्य-दिन की कमज़ोरियों का फायदा उठाने के बजाय सार्वजनिक उपकरणों, ओपन-सोर्स यूटिलिटीज़ और LOLBins पर भरोसा करते हैं। उनके संचालन में कम शोर वाली दृढ़ता और अनुकूलनशीलता पर ज़ोर दिया जाता है, और संदेह पैदा किए बिना दीर्घकालिक नियंत्रण बनाए रखने के लिए सामान्य और अनुकूलित दोनों तरह के उपकरणों का उपयोग किया जाता है।