Curly COMrades APT
Een eerder niet-gedocumenteerde cyberdreigingsgroep, genaamd Curly COMrades, is waargenomen die zich richt op prominente entiteiten in Georgië en Moldavië. Deze campagne lijkt gericht te zijn op langdurige infiltratie en het verzamelen van inlichtingen binnen de beoogde netwerken. De activiteiten van de groep onthullen een berekende, aanhoudende en stealth-gerichte aanpak die aansluit bij de geopolitieke belangen van Rusland.
Inhoudsopgave
Hoogwaardige doelen en vroege activiteit
Sinds medio 2024 richt de groep zich op gerechtelijke en overheidsinstanties in Georgië en een energiedistributiebedrijf in Moldavië. Analyse van aanvalsgegevens toont aan dat de operatie eerder begon dan aanvankelijk werd gedacht. Het eerste bevestigde gebruik van hun aangepaste backdoor, MucorAgent, dateert van november 2023, hoewel de activiteit waarschijnlijk al eerder begon.
Strategische doelen en tactieken
Het einddoel van Curly COMrades is langdurige netwerktoegang, wat verkenning, diefstal van inloggegevens en diepere laterale verplaatsing mogelijk maakt. Ze combineren standaard aanvalstechnieken met aangepaste implementaties om zich aan te passen aan legitieme systeembewerkingen. Hun campagne wordt gekenmerkt door:
- Herhaalde trial-and-error om de toegang te verfijnen
- Redundante methoden om veerkracht te garanderen
- Stapsgewijze installatiestappen om detectie te voorkomen
Diefstal van inloggegevens vormt de kern
De aanvallers probeerden herhaaldelijk NTDS-databasebestanden van domeincontrollers te exfiltreren, waarbij ze zich richtten op wachtwoordhashes en authenticatiegegevens. Ze probeerden ook LSASS-geheugen van geselecteerde machines te dumpen om actieve gebruikersgegevens te herstellen, inclusief mogelijke wachtwoorden in platte tekst.
Misbruik van legitieme hulpmiddelen voor stealth
Een kenmerk van de activiteiten van Curly COMrades is het gebruik van vertrouwde software en diensten om kwaadaardige activiteiten te maskeren. Bekende tools zijn onder andere:
Resocks, SOCKS5, SSH en Stunnel – creëren meerdere toegangstunnels naar interne netwerken en maken uitvoering van opdrachten op afstand mogelijk.
Legitieme maar gecompromitteerde websites – die fungeren als geheime relais voor C2-verkeer en data-exfiltratie, vermengd met normale netwerkstromen.
Extra bewapende hulpmiddelen:
- CurlCat – bidirectionele gegevensoverdracht via HTTPS via gecompromitteerde sites
- RuRat – een legitieme RMM-tool voor permanente controle
- Mimikatz – het verzamelen van inloggegevens uit het geheugen
- Algemene Windows-opdrachten (netstat, tasklist, systeminfo, ipconfig, ping) voor verkenning
- PowerShell-scripts met curl voor heimelijke data-exfiltratie
MucorAgent: een aangepast persistentiewapen
De kern van de campagne is MucorAgent, een speciaal ontwikkelde .NET-backdoor die COM Class Identifiers (CLSID's) kaapt die gekoppeld zijn aan de Native Image Generator (Ngen), een ingebouwd .NET Framework-onderdeel.
Ngen, hoewel ontworpen om assembly's vooraf te compileren, kan dienen als een heimelijk persistentiemechanisme. De aanvallers misbruiken een uitgeschakelde geplande taak die gekoppeld is aan Ngen, die af en toe onvoorspelbaar wordt geactiveerd tijdens inactiviteit of applicatie-implementaties, waardoor ze toegang op SYSTEM-niveau kunnen herstellen zonder alarmen te activeren.
Het MucorAgent-implantaat werkt in drie fasen: het voert gecodeerde PowerShell-scripts uit en stuurt de resultaten naar door de aanvaller beheerde servers. Payloads worden in het geheugen geladen en direct daarna verwijderd, waardoor er minimale forensische sporen achterblijven.
Methodisch, adaptief en stealth-first
Curly COMrades geven de voorkeur aan stealth boven nieuwigheid en vertrouwen op openbare tools, open-source hulpprogramma's en LOLBins in plaats van zero-day-kwetsbaarheden uit te buiten. Hun activiteiten benadrukken ruisarme persistentie en aanpassingsvermogen, waarbij ze zowel gangbare als aangepaste tools gebruiken om de controle op lange termijn te behouden zonder argwaan te wekken.
