Kovrčavi COMrades APT
Primijećeno je da prethodno nedokumentirana skupina za kibernetičke prijetnje, nazvana Curly COMrades, cilja visokoprofilirane subjekte u Gruziji i Moldaviji. Čini se da je ova kampanja usmjerena na dugoročnu infiltraciju i prikupljanje obavještajnih podataka unutar ciljanih mreža. Aktivnosti skupine otkrivaju proračunat, uporan i prikriven pristup usklađen s geopolitičkim interesima Rusije.
Sadržaj
Visokovrijedni ciljevi i rana aktivnost
Od sredine 2024. godine, grupa se fokusirala na pravosudna i vladina tijela u Gruziji i tvrtku za distribuciju energije u Moldaviji. Analiza artefakata napada pokazuje da je operacija započela ranije nego što se prvi put mislilo, a najranija potvrđena upotreba njihovog prilagođenog backdoora, MucorAgent, datira iz studenog 2023., iako je aktivnost vjerojatno započela i prije toga.
Strateški ciljevi i taktike
Krajnji cilj za Curly COMrades je produljeni pristup mreži, što omogućuje izviđanje, krađu vjerodajnica i dublje lateralno kretanje. Kombiniraju standardne tehnike napada s prilagođenim implementacijama kako bi se uklopili u legitimne operacije sustava. Njihovu kampanju obilježava:
- Ponavljani pokušaji i pogreške za poboljšanje pristupa
- Redundantne metode za osiguranje otpornosti
- Postupni koraci postavljanja kako bi se izbjeglo otkrivanje
Krađa vjerodajnica u srži
Napadači su više puta pokušavali ukrasti datoteke NTDS baze podataka s kontrolera domena, ciljajući na hashove lozinki i podatke za autentifikaciju. Također su pokušali isprazniti LSASS memoriju s odabranih računala, s ciljem oporavka aktivnih korisničkih vjerodajnica, uključujući moguće lozinke u običnom tekstu.
Zlouporaba legitimnih alata za prikrivanje
Obilježje poslovanja tvrtke Curly COMrades je korištenje pouzdanog softvera i usluga za maskiranje zlonamjernih aktivnosti. Značajni alati uključuju:
Resocks, SOCKS5, SSH i Stunnel – stvaranje više tunela za pristup u interne mreže i omogućavanje izvršavanja udaljenih naredbi.
Legitimne, ali kompromitirane web stranice – djeluju kao prikriveni releji za C2 promet i krađu podataka, miješajući se s normalnim mrežnim tokovima.
Dodatne naoružane opreme:
- CurlCat – dvosmjerni prijenos podataka putem HTTPS-a putem kompromitiranih stranica
- RuRat – legitimni RMM alat koji se koristi za trajnu kontrolu
- Mimikatz – prikupljanje vjerodajnica iz memorije
- Uobičajene Windows naredbe (netstat, tasklist, systeminfo, ipconfig, ping) za izviđanje
- PowerShell skripte s curlom za prikriveno izvlačenje podataka
MucorAgent: Prilagođeno oružje za upornost
U središtu kampanje je MucorAgent, posebno dizajnirani .NET backdoor koji otima COM Class Identifiers (CLSIDs) povezane s Native Image Generatorom (Ngen), ugrađenom .NET Framework komponentom.
Ngen, iako je dizajniran za predkompiliranje sklopova, može poslužiti kao prikriveni mehanizam perzistencije. Napadači iskorištavaju onemogućeni planirani zadatak vezan uz Ngen, koji se povremeno nepredvidivo pokreće, tijekom neaktivnosti ili implementacije aplikacija, što im omogućuje vraćanje pristupa na razini SYSTEMA bez aktiviranja alarma.
Implant MucorAgent radi u tri faze, izvršavajući šifrirane PowerShell skripte i šaljući rezultate na poslužitelje kojima upravlja napadač. Korisni podaci se učitavaju u memoriju i odmah nakon toga brišu, ostavljajući minimalne forenzičke tragove.
Metodično, prilagodljivo i prikriveno
Kovrčavi COMradeovi pokazuju sklonost prikrivenosti nad novostima, oslanjajući se na javne alate, uslužne programe otvorenog koda i LOLBine umjesto iskorištavanja zero-day ranjivosti. Njihove operacije naglašavaju postojanost i prilagodljivost s niskim stupnjem šuma, koristeći i uobičajene i prilagođene alate za održavanje dugoročne kontrole bez izazivanja sumnje.
