Preventivo sconto multi-licenza
Database delle minacce Minaccia persistente avanzata (APT) Curly COMrades APT

Curly COMrades APT

Entro Mezo nel Minaccia persistente avanzata (APT), Malware
Traduci in:

Un gruppo di cybercriminali precedentemente non documentato, denominato Curly COMrades, è stato osservato mentre prendeva di mira entità di alto profilo in Georgia e Moldavia. Questa campagna sembra essere orientata all'infiltrazione a lungo termine e alla raccolta di informazioni all'interno di reti mirate. Le attività del gruppo rivelano un approccio calcolato, persistente e orientato alla segretezza, in linea con gli interessi geopolitici della Russia.

Obiettivi di alto valore e attività precoce

Da metà 2024, il gruppo si è concentrato su enti giudiziari e governativi in Georgia e su un'azienda di distribuzione energetica in Moldavia. L'analisi degli artefatti dell'attacco mostra che l'operazione è iniziata prima di quanto si pensasse inizialmente: il primo utilizzo confermato della loro backdoor personalizzata, MucorAgent, risale a novembre 2023, anche se è probabile che l'attività sia iniziata prima di allora.

Obiettivi e tattiche strategiche

L'obiettivo finale dei Curly COMrades è l'accesso prolungato alla rete, che consente ricognizioni, furto di credenziali e movimenti laterali più approfonditi. Combinano tecniche di attacco standard con implementazioni personalizzate per integrarsi con le operazioni di sistema legittime. La loro campagna è caratterizzata da:

  • Ripetuti tentativi ed errori per perfezionare l'accesso
  • Metodi ridondanti per garantire la resilienza
  • Passaggi di configurazione incrementali per evitare il rilevamento

Furto di credenziali al centro

Gli aggressori hanno ripetutamente tentato di esfiltrare file di database NTDS dai controller di dominio, prendendo di mira hash delle password e dati di autenticazione. Hanno anche tentato di scaricare la memoria LSASS da macchine selezionate, con l'obiettivo di recuperare le credenziali utente attive, comprese possibili password in chiaro.

Abuso di strumenti legittimi per scopi furtivi

Un tratto distintivo delle attività di Curly COMrades è l'utilizzo di software e servizi affidabili per mascherare attività dannose. Tra gli strumenti più noti figurano:

Resocks, SOCKS5, SSH e Stunnel : creazione di più tunnel di accesso alle reti interne e abilitazione dell'esecuzione di comandi remoti.

Siti web legittimi ma compromessi , che agiscono come relay nascosti per il traffico C2 e l'esfiltrazione dei dati, mescolandosi ai normali flussi di rete.

Ulteriori utilità militarizzate:

  • CurlCat – trasferimento bidirezionale di dati tramite HTTPS tramite siti compromessi
  • RuRat: uno strumento RMM legittimo utilizzato per il controllo persistente
  • Mimikatz – raccolta di credenziali dalla memoria
  • Comandi comuni di Windows (netstat, tasklist, systeminfo, ipconfig, ping) per la ricognizione
  • Script di PowerShell con curl per l'esfiltrazione furtiva dei dati

MucorAgent: un’arma di persistenza personalizzata

Al centro della campagna c'è MucorAgent, una backdoor .NET personalizzata che dirotta gli identificatori di classe COM (CLSID) collegati al Native Image Generator (Ngen), un componente integrato di .NET Framework.

Ngen, sebbene progettato per precompilare gli assembly, può fungere da meccanismo di persistenza nascosto. Gli aggressori sfruttano un'attività pianificata disabilitata associata a Ngen, che occasionalmente si attiva in modo imprevedibile durante i periodi di inattività o le distribuzioni delle applicazioni, consentendo loro di ripristinare l'accesso a livello di SISTEMA senza attivare allarmi.

L'impianto MucorAgent opera in tre fasi, eseguendo script PowerShell crittografati e inviando i risultati ai server controllati dall'aggressore. I payload vengono caricati in memoria ed eliminati immediatamente dopo, lasciando tracce forensi minime.

Metodico, adattabile e stealth-first

I Curly COMrades dimostrano una preferenza per la furtività rispetto alla novità, affidandosi a strumenti pubblici, utility open source e LOLBin piuttosto che sfruttare vulnerabilità zero-day. Le loro operazioni puntano su persistenza e adattabilità a basso rumore, utilizzando strumenti sia comuni che personalizzati per mantenere il controllo a lungo termine senza destare sospetti.

Tendenza

I più visti

Caricamento in corso...