Curly COMrades APT
ਇੱਕ ਪਹਿਲਾਂ ਤੋਂ ਗੈਰ-ਦਸਤਾਵੇਜ਼ੀ ਸਾਈਬਰ ਧਮਕੀ ਸਮੂਹ, ਜਿਸਨੂੰ ਕਰਲੀ ਕਾਮਰੇਡਸ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਨੂੰ ਜਾਰਜੀਆ ਅਤੇ ਮੋਲਡੋਵਾ ਵਿੱਚ ਉੱਚ-ਪ੍ਰੋਫਾਈਲ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਦੇਖਿਆ ਗਿਆ ਹੈ। ਇਹ ਮੁਹਿੰਮ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਨੈੱਟਵਰਕਾਂ ਦੇ ਅੰਦਰ ਲੰਬੇ ਸਮੇਂ ਦੀ ਘੁਸਪੈਠ ਅਤੇ ਖੁਫੀਆ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਵੱਲ ਤਿਆਰ ਜਾਪਦੀ ਹੈ। ਸਮੂਹ ਦੀਆਂ ਗਤੀਵਿਧੀਆਂ ਰੂਸ ਦੇ ਭੂ-ਰਾਜਨੀਤਿਕ ਹਿੱਤਾਂ ਨਾਲ ਜੁੜੇ ਇੱਕ ਗਣਨਾਬੱਧ, ਨਿਰੰਤਰ ਅਤੇ ਚੋਰੀ-ਮੁਖੀ ਪਹੁੰਚ ਨੂੰ ਪ੍ਰਗਟ ਕਰਦੀਆਂ ਹਨ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਉੱਚ-ਮੁੱਲ ਵਾਲੇ ਟੀਚੇ ਅਤੇ ਸ਼ੁਰੂਆਤੀ ਗਤੀਵਿਧੀ
2024 ਦੇ ਮੱਧ ਤੋਂ, ਸਮੂਹ ਨੇ ਜਾਰਜੀਆ ਵਿੱਚ ਨਿਆਂਇਕ ਅਤੇ ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ ਅਤੇ ਮੋਲਡੋਵਾ ਵਿੱਚ ਇੱਕ ਊਰਜਾ ਵੰਡ ਕੰਪਨੀ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕੀਤਾ ਹੈ। ਹਮਲੇ ਦੀਆਂ ਕਲਾਕ੍ਰਿਤੀਆਂ ਦੇ ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਪਤਾ ਚੱਲਦਾ ਹੈ ਕਿ ਕਾਰਵਾਈ ਪਹਿਲੀ ਸੋਚ ਤੋਂ ਪਹਿਲਾਂ ਸ਼ੁਰੂ ਹੋਈ ਸੀ, ਉਨ੍ਹਾਂ ਦੇ ਕਸਟਮ ਬੈਕਡੋਰ, ਮਿਊਕੋਰਏਜੈਂਟ, ਦੀ ਸਭ ਤੋਂ ਪਹਿਲਾਂ ਪੁਸ਼ਟੀ ਕੀਤੀ ਗਈ ਵਰਤੋਂ ਨਵੰਬਰ 2023 ਦੀ ਹੈ, ਹਾਲਾਂਕਿ ਗਤੀਵਿਧੀ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਉਸ ਤੋਂ ਪਹਿਲਾਂ ਸ਼ੁਰੂ ਹੋਈ ਸੀ।
ਰਣਨੀਤਕ ਟੀਚੇ ਅਤੇ ਰਣਨੀਤੀਆਂ
ਕਰਲੀ ਕਾਮਰੇਡਜ਼ ਲਈ ਅੰਤਮ ਖੇਡ ਲੰਬੇ ਸਮੇਂ ਤੱਕ ਨੈੱਟਵਰਕ ਪਹੁੰਚ ਹੈ, ਜੋ ਖੋਜ, ਪ੍ਰਮਾਣ ਪੱਤਰ ਚੋਰੀ, ਅਤੇ ਡੂੰਘੀ ਪਾਸੇ ਦੀ ਗਤੀ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦੀ ਹੈ। ਉਹ ਜਾਇਜ਼ ਸਿਸਟਮ ਓਪਰੇਸ਼ਨਾਂ ਨਾਲ ਮਿਲਾਉਣ ਲਈ ਮਿਆਰੀ ਹਮਲੇ ਦੀਆਂ ਤਕਨੀਕਾਂ ਨੂੰ ਕਸਟਮ ਲਾਗੂਕਰਨਾਂ ਨਾਲ ਜੋੜਦੇ ਹਨ। ਉਨ੍ਹਾਂ ਦੀ ਮੁਹਿੰਮ ਇਸ ਦੁਆਰਾ ਚਿੰਨ੍ਹਿਤ ਹੈ:
- ਪਹੁੰਚ ਨੂੰ ਸੁਧਾਰਨ ਲਈ ਵਾਰ-ਵਾਰ ਟ੍ਰਾਇਲ-ਐਂਡ-ਐਰਰ
- ਲਚਕੀਲਾਪਣ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਬੇਲੋੜੇ ਤਰੀਕੇ
- ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਸੈੱਟਅੱਪ ਦੇ ਵਧੇ ਹੋਏ ਕਦਮ
ਕੋਰ 'ਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰ ਦੀ ਚੋਰੀ
ਹਮਲਾਵਰਾਂ ਨੇ ਵਾਰ-ਵਾਰ ਡੋਮੇਨ ਕੰਟਰੋਲਰਾਂ ਤੋਂ NTDS ਡੇਟਾਬੇਸ ਫਾਈਲਾਂ ਨੂੰ ਐਕਸਫਿਲਟਰੇਟ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕੀਤੀ, ਪਾਸਵਰਡ ਹੈਸ਼ਾਂ ਅਤੇ ਪ੍ਰਮਾਣੀਕਰਨ ਡੇਟਾ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ। ਉਨ੍ਹਾਂ ਨੇ ਚੁਣੀਆਂ ਗਈਆਂ ਮਸ਼ੀਨਾਂ ਤੋਂ LSASS ਮੈਮੋਰੀ ਨੂੰ ਡੰਪ ਕਰਨ ਦੀ ਵੀ ਕੋਸ਼ਿਸ਼ ਕੀਤੀ, ਜਿਸਦਾ ਉਦੇਸ਼ ਸੰਭਾਵਿਤ ਪਲੇਨਟੈਕਸਟ ਪਾਸਵਰਡਾਂ ਸਮੇਤ ਸਰਗਰਮ ਉਪਭੋਗਤਾ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨਾ ਸੀ।
ਚੋਰੀ-ਛਿਪੇ ਲਈ ਜਾਇਜ਼ ਔਜ਼ਾਰਾਂ ਦੀ ਦੁਰਵਰਤੋਂ
ਕਰਲੀ ਕਾਮਰੇਡਜ਼ ਦੇ ਕਾਰਜਾਂ ਦੀ ਇੱਕ ਵਿਸ਼ੇਸ਼ਤਾ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀ ਨੂੰ ਛੁਪਾਉਣ ਲਈ ਭਰੋਸੇਯੋਗ ਸੌਫਟਵੇਅਰ ਅਤੇ ਸੇਵਾਵਾਂ ਦੀ ਵਰਤੋਂ ਹੈ। ਮਹੱਤਵਪੂਰਨ ਸਾਧਨਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
ਰੀਸੌਕਸ, ਸੋਕਸ5, ਐਸਐਸਐਚ, ਅਤੇ ਸਟੰਨਲ - ਅੰਦਰੂਨੀ ਨੈੱਟਵਰਕਾਂ ਵਿੱਚ ਮਲਟੀਪਲ ਐਕਸੈਸ ਟਨਲ ਬਣਾਉਣਾ ਅਤੇ ਰਿਮੋਟ ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣਾ।
ਜਾਇਜ਼-ਪਰ-ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਵੈੱਬਸਾਈਟਾਂ - C2 ਟ੍ਰੈਫਿਕ ਅਤੇ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਲਈ ਗੁਪਤ ਰੀਲੇਅ ਵਜੋਂ ਕੰਮ ਕਰਦੀਆਂ ਹਨ, ਆਮ ਨੈੱਟਵਰਕ ਪ੍ਰਵਾਹਾਂ ਨਾਲ ਮਿਲਾਉਂਦੀਆਂ ਹਨ।
ਵਾਧੂ ਹਥਿਆਰਬੰਦ ਉਪਯੋਗਤਾਵਾਂ:
- CurlCat - ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਸਾਈਟਾਂ ਰਾਹੀਂ HTTPS ਉੱਤੇ ਦੋ-ਦਿਸ਼ਾਵੀ ਡੇਟਾ ਟ੍ਰਾਂਸਫਰ
- RuRat – ਇੱਕ ਜਾਇਜ਼ RMM ਟੂਲ ਜੋ ਨਿਰੰਤਰ ਨਿਯੰਤਰਣ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ
- ਮਿਮਿਕਾਟਜ਼ - ਯਾਦਦਾਸ਼ਤ ਤੋਂ ਪ੍ਰਮਾਣ ਪੱਤਰ ਇਕੱਠਾ ਕਰਨਾ
- ਖੋਜ ਲਈ ਆਮ ਵਿੰਡੋਜ਼ ਕਮਾਂਡਾਂ (ਨੈੱਟਸਟੈਟ, ਟਾਸਕਲਿਸਟ, ਸਿਸਟਮਇਨਫੋ, ਆਈਪਕਨਫਿਗ, ਪਿੰਗ)
- ਸਟੀਲਥੀ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਲਈ ਕਰਲ ਵਾਲੀਆਂ ਪਾਵਰਸ਼ੈਲ ਸਕ੍ਰਿਪਟਾਂ
ਮਿਊਕੋਰਏਜੈਂਟ: ਇੱਕ ਕਸਟਮ ਪਰਸਿਸਟੈਂਸ ਹਥਿਆਰ
ਇਸ ਮੁਹਿੰਮ ਦੇ ਕੇਂਦਰ ਵਿੱਚ MucorAgent ਹੈ, ਇੱਕ ਬੇਸਪੋਕ .NET ਬੈਕਡੋਰ ਜੋ ਇੱਕ ਬਿਲਟ-ਇਨ .NET ਫਰੇਮਵਰਕ ਕੰਪੋਨੈਂਟ, ਨੇਟਿਵ ਇਮੇਜ ਜੇਨਰੇਟਰ (Ngen) ਨਾਲ ਜੁੜੇ COM ਕਲਾਸ ਆਈਡੈਂਟੀਫਾਇਰ (CLSIDs) ਨੂੰ ਹਾਈਜੈਕ ਕਰਦਾ ਹੈ।
Ngen, ਹਾਲਾਂਕਿ ਅਸੈਂਬਲੀਆਂ ਨੂੰ ਪਹਿਲਾਂ ਤੋਂ ਕੰਪਾਇਲ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਇੱਕ ਗੁਪਤ ਸਥਿਰਤਾ ਵਿਧੀ ਵਜੋਂ ਕੰਮ ਕਰ ਸਕਦਾ ਹੈ। ਹਮਲਾਵਰ Ngen ਨਾਲ ਜੁੜੇ ਇੱਕ ਅਯੋਗ ਅਨੁਸੂਚਿਤ ਕਾਰਜ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ, ਜੋ ਕਦੇ-ਕਦਾਈਂ ਵਿਹਲੇ ਸਮੇਂ ਜਾਂ ਐਪਲੀਕੇਸ਼ਨ ਤੈਨਾਤੀਆਂ ਦੌਰਾਨ ਅਣਪਛਾਤੇ ਤੌਰ 'ਤੇ ਚਾਲੂ ਹੁੰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਉਹ ਅਲਾਰਮ ਚਾਲੂ ਕੀਤੇ ਬਿਨਾਂ SYSTEM-ਪੱਧਰ ਦੀ ਪਹੁੰਚ ਨੂੰ ਬਹਾਲ ਕਰ ਸਕਦੇ ਹਨ।
ਮਿਊਕੋਰਏਜੈਂਟ ਇਮਪਲਾਂਟ ਤਿੰਨ ਪੜਾਵਾਂ ਵਿੱਚ ਕੰਮ ਕਰਦਾ ਹੈ, ਏਨਕ੍ਰਿਪਟਡ ਪਾਵਰਸ਼ੈਲ ਸਕ੍ਰਿਪਟਾਂ ਨੂੰ ਚਲਾਉਂਦਾ ਹੈ ਅਤੇ ਨਤੀਜੇ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਸਰਵਰਾਂ ਨੂੰ ਭੇਜਦਾ ਹੈ। ਪੇਲੋਡ ਮੈਮੋਰੀ ਵਿੱਚ ਲੋਡ ਕੀਤੇ ਜਾਂਦੇ ਹਨ ਅਤੇ ਤੁਰੰਤ ਬਾਅਦ ਵਿੱਚ ਮਿਟਾ ਦਿੱਤੇ ਜਾਂਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਘੱਟੋ-ਘੱਟ ਫੋਰੈਂਸਿਕ ਨਿਸ਼ਾਨ ਰਹਿ ਜਾਂਦੇ ਹਨ।
ਵਿਧੀਗਤ, ਅਨੁਕੂਲ, ਅਤੇ ਸਟੀਲਥ-ਫਸਟ
ਕਰਲੀ ਕਾਮਰੇਡ ਜ਼ੀਰੋ-ਡੇ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਦੀ ਬਜਾਏ ਜਨਤਕ ਸਾਧਨਾਂ, ਓਪਨ-ਸੋਰਸ ਉਪਯੋਗਤਾਵਾਂ ਅਤੇ LOLBins 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹੋਏ, ਨਵੀਨਤਾ ਨਾਲੋਂ ਚੋਰੀ ਨੂੰ ਤਰਜੀਹ ਦਿੰਦੇ ਹਨ। ਉਨ੍ਹਾਂ ਦੇ ਕਾਰਜ ਘੱਟ-ਸ਼ੋਰ ਸਥਿਰਤਾ ਅਤੇ ਅਨੁਕੂਲਤਾ 'ਤੇ ਜ਼ੋਰ ਦਿੰਦੇ ਹਨ, ਬਿਨਾਂ ਸ਼ੱਕ ਪੈਦਾ ਕੀਤੇ ਲੰਬੇ ਸਮੇਂ ਦੇ ਨਿਯੰਤਰਣ ਨੂੰ ਬਣਾਈ ਰੱਖਣ ਲਈ ਆਮ ਅਤੇ ਅਨੁਕੂਲਿਤ ਦੋਵਾਂ ਸਾਧਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ।
