Kerinting COMrades APT
Kumpulan ancaman siber tanpa dokumen sebelum ini, digelar Curly COMrades, telah diperhatikan menyasarkan entiti berprofil tinggi di Georgia dan Moldova. Kempen ini nampaknya menjurus kepada penyusupan jangka panjang dan pengumpulan risikan dalam rangkaian yang disasarkan. Aktiviti kumpulan itu mendedahkan pendekatan yang dikira, berterusan dan berorientasikan senyap yang sejajar dengan kepentingan geopolitik Rusia.
Isi kandungan
Sasaran Bernilai Tinggi dan Aktiviti Awal
Sejak pertengahan 2024, kumpulan itu memberi tumpuan kepada badan kehakiman dan kerajaan di Georgia dan sebuah syarikat pengedaran tenaga di Moldova. Analisis artifak serangan menunjukkan operasi bermula lebih awal daripada yang difikirkan dahulu, penggunaan paling awal disahkan bagi pintu belakang tersuai mereka, MucorAgent, bermula sejak November 2023, walaupun aktiviti mungkin bermula sebelum itu.
Matlamat dan Taktik Strategik
Perlawanan akhir untuk Curly COMrades ialah akses rangkaian yang berpanjangan, membolehkan peninjauan, kecurian kelayakan dan pergerakan sisi yang lebih mendalam. Mereka menggabungkan teknik serangan standard dengan pelaksanaan tersuai untuk digabungkan dengan operasi sistem yang sah. Kempen mereka ditandai dengan:
- Percubaan dan ralat berulang untuk memperhalusi akses
- Kaedah berlebihan untuk memastikan daya tahan
- Langkah persediaan tambahan untuk mengelakkan pengesanan
Kecurian Tauliah di Teras
Penyerang berulang kali cuba untuk mengekstrak fail pangkalan data NTDS daripada pengawal domain, menyasarkan cincang kata laluan dan data pengesahan. Mereka juga cuba membuang memori LSASS daripada mesin terpilih, bertujuan untuk memulihkan kelayakan pengguna aktif, termasuk kemungkinan kata laluan teks biasa.
Penyalahgunaan Alat Sah untuk Bersembunyi
Ciri utama operasi Curly COMrades ialah penggunaan perisian dan perkhidmatan yang dipercayai untuk menutup aktiviti berniat jahat. Alat yang terkenal termasuk:
Resocks, SOCKS5, SSH dan Stunnel – mencipta berbilang terowong akses ke dalam rangkaian dalaman dan mendayakan pelaksanaan arahan jauh.
Tapak web yang sah tetapi dikompromi – bertindak sebagai penyampai rahsia untuk trafik C2 dan exfiltration data, menggabungkan dengan aliran rangkaian biasa.
Utiliti bersenjata tambahan:
- CurlCat – pemindahan data dua arah melalui HTTPS melalui tapak yang terjejas
- RuRat – alat RMM yang sah digunakan untuk kawalan berterusan
- Mimikatz - penuaian kelayakan dari ingatan
- Arahan Windows biasa (netstat, senarai tugas, info sistem, ipconfig, ping) untuk peninjauan
- Skrip PowerShell dengan curl untuk penyempitan data secara senyap
MucorAgent: Senjata Kegigihan Tersuai
Di tengah-tengah kempen ialah MucorAgent, pintu belakang .NET yang dipesan lebih dahulu yang merampas Pengecam Kelas COM (CLSID) yang dipautkan kepada Penjana Imej Asli (Ngen), komponen Rangka Kerja .NET terbina dalam.
Ngen, walaupun direka untuk pra-penyusun perhimpunan, boleh berfungsi sebagai mekanisme kegigihan rahsia. Penyerang mengeksploitasi tugas berjadual yang dilumpuhkan yang terikat dengan Ngen, yang kadangkala mencetuskan tanpa diduga, semasa masa terbiar atau penggunaan aplikasi, membolehkan mereka memulihkan akses peringkat SYSTEM tanpa mencetuskan penggera.
Implan MucorAgent beroperasi dalam tiga peringkat, melaksanakan skrip PowerShell yang disulitkan dan menghantar hasilnya kepada pelayan yang dikawal oleh penyerang. Muatan dimuatkan ke dalam memori dan dipadamkan serta-merta selepas itu, meninggalkan kesan forensik yang minimum.
Kaedah, Adaptif dan Stealth-First
Curly COMrades menunjukkan keutamaan untuk bersembunyi daripada kebaharuan, bergantung pada alatan awam, utiliti sumber terbuka dan LOLBins daripada mengeksploitasi kerentanan sifar hari. Operasi mereka menekankan ketekunan dan kebolehsuaian bunyi rendah, menggunakan kedua-dua alat biasa dan tersuai untuk mengekalkan kawalan jangka panjang tanpa menimbulkan syak wasangka.
