Garbanoti draugai APT
Anksčiau nedokumentuota kibernetinių grėsmių grupuotė, pravarde „Curly COMrades“, buvo pastebėta, kaip taikosi į žinomus subjektus Gruzijoje ir Moldovoje. Ši kampanija, regis, yra skirta ilgalaikiam infiltravimuisi ir žvalgybos duomenų rinkimui tiksliniuose tinkluose. Grupės veikla atskleidžia apskaičiuotą, atkaklų ir į slaptą veikimą orientuotą požiūrį, atitinkantį Rusijos geopolitinius interesus.
Turinys
Didelės vertės taikiniai ir ankstyva veikla
Nuo 2024 m. vidurio grupė daugiausia dėmesio skyrė teisminėms ir vyriausybinėms institucijoms Gruzijoje ir energijos tiekimo bendrovei Moldovoje. Atakos artefaktų analizė rodo, kad operacija prasidėjo anksčiau nei manyta iš pradžių, o anksčiausiai patvirtintas jų sukurtos galinės durys „MucorAgent“ buvo panaudotos 2023 m. lapkritį, nors veikla greičiausiai prasidėjo dar anksčiau.
Strateginiai tikslai ir taktika
„Curly COMrades“ tikslas – ilgalaikė prieiga prie tinklo, leidžianti žvalgyti, vogti įgaliojimus ir giliau judėti į šonus. Jie derina standartinius atakų metodus su pritaikytais sprendimais, kad įsilietų į teisėtas sistemos operacijas. Jų kampanijai būdingi šie bruožai:
- Pakartotiniai bandymai ir klaidos siekiant patikslinti prieigą
- Pertekliniai metodai atsparumui užtikrinti
- Laipsniški nustatymo veiksmai, siekiant išvengti aptikimo
Įgaliojimų vagystė iš esmės
Užpuolikai ne kartą bandė išgauti NTDS duomenų bazės failus iš domenų valdiklių, taikydamiesi į slaptažodžių maišos kodus ir autentifikavimo duomenis. Jie taip pat bandė išgauti LSASS atmintį iš pasirinktų kompiuterių, siekdami atkurti aktyvių vartotojų kredencialus, įskaitant galimus paprasto teksto slaptažodžius.
Piktnaudžiavimas teisėtais įrankiais slaptiems tikslams
„Curly COMrades“ veiklos bruožas yra patikimos programinės įrangos ir paslaugų naudojimas kenkėjiškai veiklai užmaskuoti. Svarbūs įrankiai:
„Resocks“, „SOCKS5“, SSH ir „Stunnel“ – sukuria kelis prieigos tunelius į vidinius tinklus ir įgalina nuotolinį komandų vykdymą.
Teisėtos, bet pažeistos svetainės – veikia kaip slaptos C2 srauto ir duomenų nutekėjimo relės, susiliejančios su įprastais tinklo srautais.
Papildomos ginkluotos priemonės:
- „CurlCat“ – dvikryptis duomenų perdavimas per HTTPS per pažeistas svetaines
- „RuRat“ – teisėta RMM priemonė, naudojama nuolatinei kontrolei
- Mimikatz – kredencialų rinkimas iš atminties
- Įprastos „Windows“ komandos („netstat“, „tasklist“, „systeminfo“, „ipconfig“, „ping“) žvalgybai
- „PowerShell“ scenarijai su „curl“, skirti slaptam duomenų išgavimui
„MucorAgent“: individualus atkaklumo ginklas
Kampanijos centre – „MucorAgent“ – specialiai sukurta .NET galinė durų programa, kuri užgrobia COM klasės identifikatorius (CLSID), susietus su „Native Image Generator“ (Ngen) – integruotu .NET Framework komponentu.
Nors „Ngen“ yra skirtas išankstiniam surinkimų kompiliavimui, jis gali būti naudojamas kaip slaptas duomenų išsaugojimo mechanizmas. Užpuolikai išnaudoja su „Ngen“ susietą išjungtą suplanuotą užduotį, kuri kartais suveikia nenuspėjamai, pavyzdžiui, neveikimo metu arba diegiant programas, ir taip gali atkurti SISTEMOS lygio prieigą nesukeliant pavojaus signalų.
„MucorAgent“ implantas veikia trimis etapais: vykdo užšifruotus „PowerShell“ scenarijus ir siunčia rezultatus užpuoliko kontroliuojamiems serveriams. Naudingieji duomenys įkeliami į atmintį ir iš karto po to ištrinami, paliekant minimalius teismo ekspertizės pėdsakus.
Metodinis, prisitaikantis ir pirmiausia orientuotas į slaptumą
„Curly COMrades“ pirmenybę teikia slaptam veikimui, o ne naujovėms, pasikliaudami viešaisiais įrankiais, atvirojo kodo programomis ir „LOLBins“, o ne išnaudodami nulinės dienos pažeidžiamumus. Jų veikloje pabrėžiamas mažo triukšmo lygis ir prisitaikomumas, naudojant tiek įprastus, tiek pritaikytus įrankius, kad būtų išlaikyta ilgalaikė kontrolė nesukeliant įtarimų.
