Curly COMrades APT
कर्ली कमरेड्स भनिने पहिले कागजात नभएको साइबर खतरा समूहले जर्जिया र मोल्डोभाका उच्च-प्रोफाइल संस्थाहरूलाई लक्षित गरेको अवलोकन गरिएको छ। यो अभियान लक्षित नेटवर्कहरू भित्र दीर्घकालीन घुसपैठ र गुप्तचर सङ्कलनतर्फ लक्षित देखिन्छ। समूहको गतिविधिले रूसको भूराजनीतिक स्वार्थहरूसँग मिल्दोजुल्दो गणना गरिएको, निरन्तर र चोरी-उन्मुख दृष्टिकोण प्रकट गर्दछ।
सामग्रीको तालिका
उच्च-मूल्य लक्ष्यहरू र प्रारम्भिक गतिविधि
२०२४ को मध्यदेखि, समूहले जर्जियाका न्यायिक र सरकारी निकायहरू र मोल्डोभाको ऊर्जा वितरण कम्पनीमा ध्यान केन्द्रित गरेको छ। आक्रमणका कलाकृतिहरूको विश्लेषणले देखाउँछ कि अपरेशन पहिले सोचेको भन्दा पहिले नै सुरु भएको थियो, उनीहरूको कस्टम ब्याकडोर, म्यूकोरएजेन्टको सबैभन्दा पहिले पुष्टि गरिएको प्रयोग नोभेम्बर २०२३ मा भएको थियो, यद्यपि गतिविधि सम्भवतः त्यसभन्दा पहिले नै सुरु भएको थियो।
रणनीतिक लक्ष्य र कार्यनीतिहरू
कर्ली कमरेडहरूको लागि अन्तिम खेल भनेको नेटवर्क पहुँचलाई लामो समयसम्म विस्तार गर्नु हो, जसले गर्दा जासुसी, प्रमाण चोरी र गहिरो पार्श्व आन्दोलन सक्षम हुन्छ। तिनीहरूले वैध प्रणाली सञ्चालनहरूसँग मिलाउन अनुकूलन कार्यान्वयनहरूसँग मानक आक्रमण प्रविधिहरू संयोजन गर्छन्। तिनीहरूको अभियान निम्नद्वारा चिन्हित छ:
- पहुँच परिष्कृत गर्न दोहोरिएको परीक्षण-र-त्रुटि
- लचिलोपन सुनिश्चित गर्न अनावश्यक विधिहरू
- पत्ता लगाउनबाट बच्नको लागि बढ्दो सेटअप चरणहरू
मूलतः प्रमाणपत्र चोरी
आक्रमणकारीहरूले पासवर्ड ह्यास र प्रमाणीकरण डेटालाई लक्षित गर्दै डोमेन नियन्त्रकहरूबाट NTDS डाटाबेस फाइलहरू बारम्बार निकाल्ने प्रयास गरे। तिनीहरूले सम्भावित प्लेनटेक्स्ट पासवर्डहरू सहित सक्रिय प्रयोगकर्ता प्रमाणहरू पुन: प्राप्ति गर्ने लक्ष्य राखेर चयन गरिएका मेसिनहरूबाट LSASS मेमोरी डम्प गर्ने प्रयास पनि गरे।
गोप्यताको लागि वैध उपकरणहरूको दुरुपयोग
कर्ली कमरेडको सञ्चालनको एउटा विशेषता भनेको दुर्भावनापूर्ण गतिविधि लुकाउन विश्वसनीय सफ्टवेयर र सेवाहरूको प्रयोग हो। उल्लेखनीय उपकरणहरूमा समावेश छन्:
Resocks, SOCKS5, SSH, र Stunnel - आन्तरिक नेटवर्कहरूमा बहु पहुँच सुरुङहरू सिर्जना गर्ने र रिमोट आदेश कार्यान्वयन सक्षम पार्ने।
वैध-तर-सम्झौता गरिएका वेबसाइटहरू - सामान्य नेटवर्क प्रवाहसँग मिसिएर, C2 ट्राफिक र डेटा एक्सफिल्ट्रेसनको लागि गोप्य रिलेको रूपमा काम गर्ने।
थप हतियारयुक्त उपयोगिताहरू:
- CurlCat - सम्झौता गरिएका साइटहरू मार्फत HTTPS मार्फत द्विदिशात्मक डेटा स्थानान्तरण
- RuRat – निरन्तर नियन्त्रणको लागि प्रयोग गरिने एक वैध RMM उपकरण
- मिमिकाट्ज - स्मृतिबाट प्रमाणपत्र सङ्कलन
- जासूसीका लागि सामान्य विन्डोज आदेशहरू (नेटस्टेट, टास्कलिस्ट, सिस्टमइन्फो, आईपकन्फिग, पिंग)
- गोप्य डेटा एक्सफिल्ट्रेसनको लागि कर्ल सहितको पावरशेल स्क्रिप्टहरू
म्यूकोरएजेन्ट: एक अनुकूलित दृढता हतियार
अभियानको मुटुमा MucorAgent छ, जुन एक बेस्पोक .NET ब्याकडोर हो जसले निर्मित .NET फ्रेमवर्क कम्पोनेन्ट, नेटिभ इमेज जेनरेटर (Ngen) सँग लिङ्क गरिएको COM क्लास आइडेन्टिफायरहरू (CLSIDs) लाई अपहरण गर्दछ।
एनजेन, यद्यपि एसेम्बलीहरू पूर्व-कम्पाइल गर्न डिजाइन गरिएको हो, एक गुप्त दृढता संयन्त्रको रूपमा काम गर्न सक्छ। आक्रमणकारीहरूले एनजेनसँग जोडिएको असक्षम तालिकाबद्ध कार्यको शोषण गर्छन्, जुन कहिलेकाहीं निष्क्रिय समय वा अनुप्रयोग तैनातीहरूमा अप्रत्याशित रूपमा ट्रिगर हुन्छ, जसले तिनीहरूलाई अलार्म ट्रिगर नगरी प्रणाली-स्तर पहुँच पुनर्स्थापित गर्न अनुमति दिन्छ।
म्युकोरएजेन्ट इम्प्लान्ट तीन चरणहरूमा सञ्चालन हुन्छ, एन्क्रिप्टेड पावरशेल स्क्रिप्टहरू कार्यान्वयन गर्दछ र आक्रमणकारी-नियन्त्रित सर्भरहरूमा परिणामहरू पठाउँछ। पेलोडहरू मेमोरीमा लोड गरिन्छन् र तुरुन्तै मेटाइन्छ, न्यूनतम फोरेन्सिक ट्रेसहरू छोडेर।
पद्धतिगत, अनुकूलनीय, र गोप्य-प्रथम
कर्ली कमरेडहरूले शून्य-दिनको कमजोरीहरूको शोषण गर्नुको सट्टा सार्वजनिक उपकरणहरू, खुला-स्रोत उपयोगिताहरू, र LOLBins मा भर पर्दै, नवीनता भन्दा चोरीलाई प्राथमिकता दिन्छन्। तिनीहरूको सञ्चालनले कम-शोर दृढता र अनुकूलनशीलतालाई जोड दिन्छ, शंका नउठाई दीर्घकालीन नियन्त्रण कायम राख्न सामान्य र अनुकूलित दुवै उपकरणहरू प्रयोग गर्दछ।
