Göndör társak APT
Egy korábban nem dokumentált kiberfenyegető csoportot, a Curly COMrades-t figyeltek meg, amint Grúziában és Moldovában magas rangú szervezeteket céloz meg. Úgy tűnik, hogy ez a kampány a célzott hálózatokon belüli hosszú távú beszivárgásra és hírszerzésre irányul. A csoport tevékenységei egy kiszámított, kitartó és lopakodó megközelítést mutatnak, amely összhangban van Oroszország geopolitikai érdekeivel.
Tartalomjegyzék
Nagy értékű célpontok és korai aktivitás
2024 közepe óta a csoport grúziai igazságszolgáltatási és kormányzati szervekre, valamint egy moldovai energiaelosztó vállalatra összpontosított. A támadás során keletkezett tárgyak elemzése azt mutatja, hogy a művelet korábban kezdődött, mint azt először gondolták, a MucorAgent nevű egyedi hátsó ajtójuk legkorábbi megerősített használata 2023 novemberére nyúlik vissza, bár a tevékenység valószínűleg már korábban elkezdődött.
Stratégiai célok és taktikák
A Curly COMrades célja a hosszabb hálózati hozzáférés, amely lehetővé teszi a felderítést, a hitelesítő adatok ellopását és a mélyebb oldalirányú mozgást. A hagyományos támadási technikákat egyedi megvalósításokkal ötvözik, hogy beépüljenek a legitim rendszerműveletekbe. Kampányukat a következők jellemzik:
- Ismételt próbálkozások és hibák a hozzáférés finomítása érdekében
- Redundáns módszerek a rugalmasság biztosítására
- Fokozatos beállítási lépések az észlelés elkerülése érdekében
Hitelesítő adatok ellopása a lényegben
A támadók többször is megpróbálták kiszivárogtatni az NTDS adatbázisfájlokat a tartományvezérlőkről, jelszó-hasheket és hitelesítési adatokat célozva meg. Megpróbálták továbbá kiíratni az LSASS memóriát kiválasztott gépekről, azzal a céllal, hogy visszaszerezzék az aktív felhasználói hitelesítő adatokat, beleértve az esetleges sima szöveges jelszavakat is.
Legális eszközök visszaélése lopakodás céljából
A Curly COMrades működésének egyik jellemzője a megbízható szoftverek és szolgáltatások használata a rosszindulatú tevékenységek elfedésére. A figyelemre méltó eszközök a következők:
Resocks, SOCKS5, SSH és Stunnel – több hozzáférési alagutat hoznak létre a belső hálózatokba, és lehetővé teszik a távoli parancsok végrehajtását.
Legális, de feltört weboldalak – rejtett közvetítőként működnek a C2 forgalom és az adatlopás számára, beleolvadva a normál hálózati folyamatokba.
További fegyverként használható segédeszközök:
- CurlCat – kétirányú adatátvitel HTTPS-en keresztül feltört webhelyeken keresztül
- RuRat – egy legitim RMM eszköz a tartós ellenőrzéshez
- Mimikatz – hitelesítő adatok gyűjtése memóriából
- Gyakori Windows parancsok (netstat, tasklist, systeminfo, ipconfig, ping) felderítéshez
- PowerShell szkriptek curl-lel a titkos adatkiszivárgás érdekében
MucorAgent: Egyedi kitartásfegyver
A kampány középpontjában a MucorAgent áll, egy testreszabott .NET hátsó ajtó, amely eltéríti a Native Image Generatorhoz (Ngen), a beépített .NET keretrendszer-komponenshez kapcsolódó COM osztályazonosítókat (CLSID).
Az Ngen, bár assemblyek előfordítására készült, rejtett megőrzési mechanizmusként is szolgálhat. A támadók egy, az Ngenhez kapcsolódó letiltott, ütemezett feladatot kihasználnak, amely időnként kiszámíthatatlanul aktiválódik tétlenségi időkben vagy alkalmazástelepítések során, lehetővé téve számukra a RENDSZER szintű hozzáférés visszaállítását riasztások kiváltása nélkül.
A MucorAgent implantátum három szakaszban működik: titkosított PowerShell szkripteket hajt végre, és az eredményeket a támadó által ellenőrzött szerverekre küldi. A hasznos adatok betöltődnek a memóriába, majd azonnal törlődnek, minimális nyomkövetést hagyva maguk után.
Módszeres, adaptív és lopakodó
A Curly COMrade-ek a lopakodást részesítik előnyben az újdonságokkal szemben, nyilvános eszközökre, nyílt forráskódú segédprogramokra és LOLBin-ekre támaszkodva a nulladik napi sebezhetőségek kihasználása helyett. Működésükben az alacsony zajszintű perzisztenciát és az alkalmazkodóképességet helyezik előtérbe, mind a gyakori, mind az egyedi eszközöket használva a hosszú távú kontroll fenntartása érdekében, gyanú felkeltése nélkül.
