Krøllete COMrades APT
En tidligere udokumentert cybertrusselgruppe, kalt Curly COMrades, har blitt observert rettet mot høyprofilerte enheter i Georgia og Moldova. Denne kampanjen ser ut til å være rettet mot langsiktig infiltrasjon og etterretningsinnsamling innenfor målrettede nettverk. Gruppens aktiviteter avslører en kalkulert, vedvarende og snikorientert tilnærming i tråd med Russlands geopolitiske interesser.
Innholdsfortegnelse
Høyverdige mål og tidlig aktivitet
Siden midten av 2024 har gruppen fokusert på rettslige og statlige organer i Georgia og et energidistribusjonsselskap i Moldova. Analyse av angrepsartefakter viser at operasjonen startet tidligere enn først antatt. Den tidligste bekreftede bruken av deres spesialbygde bakdør, MucorAgent, dateres tilbake til november 2023, selv om aktiviteten sannsynligvis startet før da.
Strategiske mål og taktikker
Sluttmålet for Curly COMrades er forlenget nettverkstilgang, som muliggjør rekognosering, tyveri av legitimasjon og dypere lateral bevegelse. De kombinerer standard angrepsteknikker med tilpassede implementeringer for å blande seg inn med legitime systemoperasjoner. Kampanjen deres er preget av:
- Gjentatt prøving og feiling for å forbedre tilgangen
- Redundante metoder for å sikre robusthet
- Trinnvise oppsettstrinn for å unngå deteksjon
Legitimasjonstyveri i kjernen
Angriperne forsøkte gjentatte ganger å tømme NTDS-databasefiler fra domenekontrollere, rettet mot passord-hasher og autentiseringsdata. De prøvde også å dumpe LSASS-minne fra utvalgte maskiner, med sikte på å gjenopprette aktive brukerlegitimasjoner, inkludert mulige passord i ren tekst.
Misbruk av legitime verktøy for sniking
Et kjennetegn ved Curly COMrades' virksomhet er bruken av pålitelig programvare og tjenester for å maskere ondsinnet aktivitet. Viktige verktøy inkluderer:
Resocks, SOCKS5, SSH og Stunnel – oppretter flere tilgangstunneler til interne nettverk og muliggjør fjernutførelse av kommandoer.
Legitime, men kompromitterte nettsteder – som fungerer som skjulte reléer for C2-trafikk og datautvinning, og blander seg med vanlige nettverksflyter.
Ytterligere våpenbaserte verktøy:
- CurlCat – toveis dataoverføring over HTTPS via kompromitterte nettsteder
- RuRat – et legitimt RMM-verktøy som brukes til vedvarende kontroll
- Mimikatz – innsamling av legitimasjonsbevis fra minnet
- Vanlige Windows-kommandoer (netstat, tasklist, systeminfo, ipconfig, ping) for rekognosering
- PowerShell-skript med curl for skjult datautfiltrering
MucorAgent: Et tilpasset utholdenhetsvåpen
Kjernen i kampanjen er MucorAgent, en skreddersydd .NET-bakdør som kaprer COM-klasseidentifikatorer (CLSID-er) koblet til Native Image Generator (Ngen), en innebygd .NET Framework-komponent.
Ngen, selv om den er designet for å forhåndskompilere sammenstillinger, kan fungere som en skjult persistensmekanisme. Angriperne utnytter en deaktivert planlagt oppgave knyttet til Ngen, som av og til utløses uforutsigbart, under inaktive perioder eller applikasjonsdistribusjoner, slik at de kan gjenopprette tilgang på SYSTEM-nivå uten å utløse alarmer.
MucorAgent-implantatet opererer i tre trinn, kjører krypterte PowerShell-skript og sender resultatene til angriperkontrollerte servere. Nyttelaster lastes inn i minnet og slettes umiddelbart etterpå, noe som etterlater minimale rettsmedisinske spor.
Metodisk, tilpasningsdyktig og snikende
Curly COMrades viser en preferanse for stealth fremfor nyhet, og er avhengige av offentlige verktøy, åpen kildekode-verktøy og LOLBins i stedet for å utnytte nulldagssårbarheter. Driften deres vektlegger lavstøyutholdenhet og tilpasningsevne, og bruker både vanlige og tilpassede verktøy for å opprettholde langsiktig kontroll uten å vekke mistanke.
