Curly COMrades APT
Ir novērota iepriekš nedokumentēta kiberdraudu grupa ar nosaukumu “Curly COMrades”, kas uzbrūk augsta līmeņa organizācijām Gruzijā un Moldovā. Šķiet, ka šī kampaņa ir vērsta uz ilgtermiņa iefiltrēšanos un izlūkdienestu informācijas vākšanu mērķa tīklos. Grupas darbības atklāj aprēķinātu, neatlaidīgu un uz slepenību orientētu pieeju, kas ir saskaņota ar Krievijas ģeopolitiskajām interesēm.
Satura rādītājs
Augstas vērtības mērķi un agrīna aktivitāte
Kopš 2024. gada vidus grupa ir koncentrējusies uz tiesu un valdības iestādēm Gruzijā un enerģijas sadales uzņēmumu Moldovā. Uzbrukuma artefaktu analīze liecina, ka operācija sākās agrāk, nekā sākotnēji domāts, un agrākā apstiprinātā viņu pielāgotās aizmugures durvju MucorAgent izmantošana datēta ar 2023. gada novembri, lai gan aktivitāte, visticamāk, sākās pirms tam.
Stratēģiskie mērķi un taktika
Curly COMrades galvenais mērķis ir ilgstoša piekļuve tīklam, kas nodrošina izlūkošanu, akreditācijas datu zādzību un dziļāku sānu kustību. Viņi apvieno standarta uzbrukuma metodes ar pielāgotām ieviešanām, lai iekļautos likumīgās sistēmas darbībās. Viņu kampaņu raksturo:
- Atkārtota izmēģinājumu un kļūdu metode, lai uzlabotu piekļuvi
- Redundantas metodes noturības nodrošināšanai
- Pakāpeniskas iestatīšanas darbības, lai izvairītos no atklāšanas
Pilnvaru zādzības pamatā
Uzbrucēji atkārtoti mēģināja izfiltrēt NTDS datubāzes failus no domēnu kontrolleriem, mērķējot uz paroļu jaucējkodiem un autentifikācijas datiem. Viņi arī mēģināja izgūt LSASS atmiņu no atlasītām iekārtām, cenšoties atgūt aktīvo lietotāju akreditācijas datus, tostarp iespējamas vienkārša teksta paroles.
Likumīgu rīku ļaunprātīga izmantošana slepenības nolūkos
Curly COMrades darbības raksturīga iezīme ir uzticamas programmatūras un pakalpojumu izmantošana ļaunprātīgu darbību maskēšanai. Ievērojami rīki ir:
Resocks, SOCKS5, SSH un Stunnel — vairāku piekļuves tuneļu izveide iekšējos tīklos un attālinātas komandu izpildes iespējošana.
Likumīgas, bet apdraudētas tīmekļa vietnes , kas darbojas kā slepenas C2 datplūsmas un datu noplūdes pārraides, saplūstot ar parastajām tīkla plūsmām.
Papildu ieroču utilītprogrammas:
- CurlCat – divvirzienu datu pārsūtīšana, izmantojot HTTPS, izmantojot apdraudētas vietnes
- RuRat – likumīgs RMM rīks, ko izmanto pastāvīgai kontrolei
- Mimikatz — akreditācijas datu iegūšana no atmiņas
- Bieži izmantotās Windows komandas (netstat, tasklist, systeminfo, ipconfig, ping) izlūkošanai
- PowerShell skripti ar curl slepenai datu noplūdei
MucorAgent: pielāgots noturības ierocis
Kampaņas centrā ir MucorAgent — īpaši izstrādāta .NET aizmugures durvis, kas nolaupa COM klases identifikatorus (CLSID), kas saistīti ar Native Image Generator (Ngen) — iebūvētu .NET Framework komponentu.
Lai gan Ngen ir paredzēts assemblu iepriekšējai kompilēšanai, tas var kalpot kā slēpts saglabāšanas mehānisms. Uzbrucēji izmanto atspējotu ieplānotu uzdevumu, kas saistīts ar Ngen, kas laiku pa laikam neparedzami aktivizējas dīkstāves vai lietojumprogrammu izvietošanas laikā, ļaujot viņiem atjaunot SISTĒMAS līmeņa piekļuvi, neizraisot trauksmes signālus.
MucorAgent implants darbojas trīs posmos, izpildot šifrētus PowerShell skriptus un nosūtot rezultātus uzbrucēja kontrolētiem serveriem. Derīgā slodze tiek ielādēta atmiņā un nekavējoties izdzēsta, atstājot minimālas forenzikas pēdas.
Metodiski, adaptīvi un uz slepenību orientēti
Cirtainās COMrades komandas dod priekšroku slepenībai, nevis jaunumiem, paļaujoties uz publiski pieejamiem rīkiem, atvērtā pirmkoda utilītprogrammām un LOLBins, nevis izmantojot nulles dienas ievainojamības. Viņu darbībā uzsvars tiek likts uz zema trokšņa līmeņa noturību un pielāgošanās spēju, izmantojot gan parastus, gan pielāgotus rīkus, lai saglabātu ilgtermiņa kontroli, neradot aizdomas.
