Curly COMrades APT
ក្រុមគម្រាមកំហែងតាមអ៊ីនធឺណែតដែលមិនមានឯកសារពីមុន ដែលមានឈ្មោះថា Curly COMrades ត្រូវបានគេសង្កេតឃើញផ្តោតលើអង្គភាពដែលមានកេរ្តិ៍ឈ្មោះខ្ពស់នៅក្នុងរដ្ឋ Georgia និង Moldova ។ យុទ្ធនាការនេះហាក់ដូចជាផ្តោតលើការជ្រៀតចូលរយៈពេលវែង និងការប្រមូលផ្តុំស៊ើបការណ៍នៅក្នុងបណ្តាញគោលដៅ។ សកម្មភាពរបស់ក្រុមនេះបង្ហាញពីវិធីសាស្រ្តគណនា ជាប់លាប់ និងបំបាំងកាយ ស្របតាមផលប្រយោជន៍ភូមិសាស្ត្រនយោបាយរបស់រុស្ស៊ី។
តារាងមាតិកា
គោលដៅដែលមានតម្លៃខ្ពស់ និងសកម្មភាពដំបូង
ចាប់តាំងពីពាក់កណ្តាលឆ្នាំ 2024 ក្រុមនេះបានផ្តោតលើស្ថាប័នតុលាការ និងរដ្ឋាភិបាលនៅហ្សកហ្ស៊ី និងក្រុមហ៊ុនចែកចាយថាមពលនៅម៉ុលដូវ៉ា។ ការវិភាគវត្ថុបុរាណនៃការវាយប្រហារបង្ហាញថា ប្រតិបត្តិការបានចាប់ផ្តើមលឿនជាងការគិតដំបូង ដែលជាការបញ្ជាក់ដំបូងបំផុតនៃការប្រើប្រាស់ backdoor ផ្ទាល់ខ្លួនរបស់ពួកគេគឺ MucorAgent ដែលមានអាយុកាលតាំងពីខែវិច្ឆិកា ឆ្នាំ 2023 ទោះបីជាសកម្មភាពទំនងជាបានចាប់ផ្តើមមុនពេលនោះក៏ដោយ។
គោលដៅយុទ្ធសាស្ត្រ និងយុទ្ធសាស្ត្រ
ហ្គេមចុងក្រោយសម្រាប់ Curly COMrades គឺការចូលប្រើបណ្តាញយូរ ធ្វើឱ្យការឈ្លបយកការណ៍ ការលួចព័ត៌មានសម្ងាត់ និងចលនានៅពេលក្រោយកាន់តែស៊ីជម្រៅ។ ពួកគេរួមបញ្ចូលគ្នានូវបច្ចេកទេសវាយប្រហារស្តង់ដារជាមួយនឹងការអនុវត្តផ្ទាល់ខ្លួន ដើម្បីបញ្ចូលគ្នាជាមួយប្រតិបត្តិការប្រព័ន្ធស្របច្បាប់។ យុទ្ធនាការរបស់ពួកគេត្រូវបានសម្គាល់ដោយ៖
- ការសាកល្បងនិងកំហុសម្តងហើយម្តងទៀតដើម្បីកែលម្អការចូលប្រើ
- វិធីសាស្រ្តលែងត្រូវការដើម្បីធានាភាពធន់
- ជំហានដំឡើងបន្ថែម ដើម្បីជៀសវាងការរកឃើញ
ការលួចអត្តសញ្ញាណនៅស្នូល
អ្នកវាយប្រហារបានព្យាយាមម្តងហើយម្តងទៀតដើម្បីទាញយកឯកសារមូលដ្ឋានទិន្នន័យ NTDS ចេញពីឧបករណ៍បញ្ជាដែន ដោយកំណត់គោលដៅលេខសម្ងាត់ និងទិន្នន័យផ្ទៀងផ្ទាត់។ ពួកគេក៏បានព្យាយាមបោះចោលអង្គចងចាំ LSASS ពីម៉ាស៊ីនដែលបានជ្រើសរើស គោលបំណងដើម្បីសង្គ្រោះព័ត៌មានសម្ងាត់អ្នកប្រើប្រាស់សកម្ម រួមទាំងពាក្យសម្ងាត់អត្ថបទធម្មតាដែលអាចកើតមានផងដែរ។
ការរំលោភបំពានឧបករណ៍ស្របច្បាប់សម្រាប់ការបំបាំងកាយ
ចំណុចសំខាន់នៃប្រតិបត្តិការរបស់ Curly COMrades គឺការប្រើប្រាស់កម្មវិធី និងសេវាកម្មដែលអាចទុកចិត្តបាន ដើម្បីបិទបាំងសកម្មភាពព្យាបាទ។ ឧបករណ៍គួរឱ្យកត់សម្គាល់រួមមាន:
Resocks, SOCKS5, SSH, និង Stunnel – បង្កើតផ្លូវរូងក្រោមដីចូលដំណើរការច្រើនចូលទៅក្នុងបណ្តាញខាងក្នុង និងបើកដំណើរការការប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយ។
គេហទំព័រស្របច្បាប់ ប៉ុន្តែមានការសម្របសម្រួល - ដើរតួជាអ្នកបញ្ជូនតសម្ងាត់សម្រាប់ចរាចរ C2 និងការបន្សុទ្ធទិន្នន័យ រួមបញ្ចូលគ្នាជាមួយលំហូរបណ្តាញធម្មតា។
ឧបករណ៍ប្រើប្រាស់អាវុធបន្ថែម៖
- CurlCat - ការផ្ទេរទិន្នន័យទ្វេទិសលើ HTTPS តាមរយៈគេហទំព័រដែលត្រូវបានសម្របសម្រួល
MucorAgent: អាវុធតស៊ូផ្ទាល់ខ្លួន
ចំណុចសំខាន់នៃយុទ្ធនាការនេះគឺ MucorAgent ដែលជា backdoor .NET ផ្ទាល់ខ្លួនដែលលួចលាក់ COM Class Identifiers (CLSIDs) ដែលភ្ជាប់ទៅនឹង Native Image Generator (Ngen) ដែលជាសមាសធាតុ .NET Framework ដែលភ្ជាប់មកជាមួយ។
Ngen ទោះបីជាបានរចនាឡើងដើម្បីចងក្រងសន្និបាតជាមុនក៏ដោយ ក៏វាអាចបម្រើជាយន្តការរក្សាការសម្ងាត់។ អ្នកវាយប្រហារកេងប្រវ័ញ្ចលើកិច្ចការដែលបានកំណត់ពេលបិទដែលភ្ជាប់ទៅនឹង Ngen ដែលម្តងម្កាលចាប់ផ្តើមដោយមិនអាចទាយទុកជាមុនបាន ក្នុងអំឡុងពេលទំនេរ ឬការដាក់ឱ្យប្រើប្រាស់កម្មវិធី ដែលអនុញ្ញាតឱ្យពួកគេស្តារការចូលប្រើកម្រិតប្រព័ន្ធដោយមិនបង្កការជូនដំណឹង។
ការដាក់បញ្ចូល MucorAgent ដំណើរការជាបីដំណាក់កាល ដោយដំណើរការស្គ្រីប PowerShell ដែលបានអ៊ិនគ្រីប និងបញ្ជូនលទ្ធផលទៅកាន់ម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។ បន្ទុកត្រូវបានផ្ទុកទៅក្នុងអង្គចងចាំ ហើយត្រូវបានលុបភ្លាមៗបន្ទាប់ពីនោះ ដោយបន្សល់ទុកដានតិចតួចបំផុត។
វិធីសាស្រ្ត, អាដាប់ធ័រ, និងបំបាំងកាយ - ទីមួយ
Curly COMrades បង្ហាញពីចំណូលចិត្តសម្រាប់ការបំបាំងកាយលើភាពថ្មីថ្មោង ដោយពឹងផ្អែកលើឧបករណ៍សាធារណៈ ឧបករណ៍ប្រើប្រាស់ប្រភពបើកចំហ និង LOLBins ជាជាងការទាញយកភាពងាយរងគ្រោះសូន្យថ្ងៃ។ ប្រតិបត្តិការរបស់ពួកគេសង្កត់ធ្ងន់ទៅលើភាពជាប់លាប់នៃសំលេងរំខានទាប និងការសម្របខ្លួន ដោយប្រើទាំងឧបករណ៍ទូទៅ និងតាមតម្រូវការដើម្បីរក្សាការគ្រប់គ្រងរយៈពេលវែងដោយមិនបង្កឱ្យមានការសង្ស័យ។
