Curly COMrades APT
이전에 기록되지 않은 사이버 위협 단체인 '컬리 컴레이드(Curly COMrades)'가 조지아와 몰도바의 주요 기관들을 표적으로 삼는 것으로 확인되었습니다. 이 작전은 표적 네트워크 내 장기 침투 및 정보 수집을 목표로 하는 것으로 보입니다. 이 단체의 활동은 러시아의 지정학적 이익에 부합하는 계산적이고 끈질기며 은밀한 접근 방식을 보여줍니다.
목차
고가치 목표 및 조기 활동
2024년 중반부터 이 그룹은 조지아의 사법 및 정부 기관과 몰도바의 에너지 유통 회사를 집중 공략해 왔습니다. 공격 아티팩트 분석 결과, 이 작전은 당초 예상보다 일찍 시작되었으며, 이들이 자체 제작한 백도어인 MucorAgent의 최초 사용은 2023년 11월로 거슬러 올라가지만, 활동은 그 이전에 시작되었을 가능성이 높습니다.
전략적 목표와 전술
Curly COMrades의 궁극적인 목표는 장시간 네트워크 접속을 통해 정찰, 신원 정보 유출, 그리고 더욱 심층적인 수평 이동을 가능하게 하는 것입니다. 이들은 표준 공격 기법과 맞춤형 구현 방식을 결합하여 합법적인 시스템 운영에 침투합니다. 이들의 캠페인은 다음과 같은 특징을 보입니다.
- 접근성을 개선하기 위한 반복적인 시행착오
- 복원력을 보장하기 위한 중복 방법
- 탐지를 피하기 위한 증분적 설정 단계
핵심은 신원 정보 도용
공격자는 도메인 컨트롤러에서 NTDS 데이터베이스 파일을 반복적으로 유출하려고 시도했으며, 암호 해시와 인증 데이터를 표적으로 삼았습니다. 또한, 선택된 컴퓨터에서 LSASS 메모리를 덤프하여 활성 사용자 자격 증명(가능한 평문 암호 포함)을 복구하려고 시도했습니다.
은밀한 활동을 위한 합법적 도구의 남용
Curly COMrades 운영의 특징은 신뢰할 수 있는 소프트웨어와 서비스를 사용하여 악의적인 활동을 은폐하는 것입니다. 주요 도구는 다음과 같습니다.
Resocks, SOCKS5, SSH 및 Stunnel – 내부 네트워크로의 여러 액세스 터널을 생성하고 원격 명령 실행을 활성화합니다.
합법적이지만 침해된 웹사이트 - C2 트래픽과 데이터 유출을 위한 은밀한 중계 역할을 하며 정상적인 네트워크 흐름과 섞입니다.
추가 무기화된 유틸리티:
- CurlCat – 손상된 사이트를 통한 HTTPS를 통한 양방향 데이터 전송
- RuRat – 지속적인 제어에 사용되는 합법적인 RMM 도구
- Mimikatz – 메모리에서 자격 증명 수집
- 정찰을 위한 일반적인 Windows 명령(netstat, tasklist, systeminfo, ipconfig, ping)
- 은밀한 데이터 유출을 위한 curl을 사용한 PowerShell 스크립트
MucorAgent: 맞춤형 지속 무기
캠페인의 핵심은 .NET Framework의 기본 구성 요소인 Native Image Generator(Ngen)에 연결된 COM 클래스 식별자(CLSID)를 하이재킹하는 맞춤형 .NET 백도어인 MucorAgent입니다.
Ngen은 어셈블리를 미리 컴파일하도록 설계되었지만, 은밀한 지속성 메커니즘으로 활용될 수 있습니다. 공격자는 Ngen에 연결된 비활성화된 예약 작업을 악용하는데, 이 작업은 유휴 시간이나 애플리케이션 배포 중에 예측 불가능하게 트리거되는 경우가 종종 있습니다. 이를 통해 경보를 발생시키지 않고도 시스템 수준 접근 권한을 복구할 수 있습니다.
MucorAgent 임플란트는 암호화된 PowerShell 스크립트를 실행하고 그 결과를 공격자가 제어하는 서버로 전송하는 세 단계로 작동합니다. 페이로드는 메모리에 로드된 후 즉시 삭제되므로 최소한의 포렌식 흔적만 남습니다.
체계적이고 적응적이며 은밀함을 우선시하는
곱슬머리 동지들은 새로운 공격 방식보다는 은밀한 공격을 선호하며, 제로데이 취약점을 악용하기보다는 공개 도구, 오픈소스 유틸리티, 그리고 LOLBin을 활용합니다. 이들의 작전은 저소음 지속성과 적응성을 중시하며, 일반 도구와 맞춤형 도구를 모두 사용하여 의심을 불러일으키지 않으면서 장기적인 통제력을 유지합니다.
