Kręcone COMrades APT
Zaobserwowano, że wcześniej nieudokumentowana grupa cyberzagrożeń, o nazwie Curly COMrades, atakuje wpływowe podmioty w Gruzji i Mołdawii. Kampania ta wydaje się być ukierunkowana na długoterminową infiltrację i gromadzenie informacji wywiadowczych w obrębie atakowanych sieci. Działania grupy ujawniają przemyślane, uporczywe i dyskretne podejście, zgodne z geopolitycznymi interesami Rosji.
Spis treści
Cele o wysokiej wartości i wczesna aktywność
Od połowy 2024 roku grupa koncentruje się na organach sądowych i rządowych w Gruzji oraz na firmie zajmującej się dystrybucją energii w Mołdawii. Analiza śladów ataku pokazuje, że operacja rozpoczęła się wcześniej niż początkowo sądzono. Najwcześniejsze potwierdzone użycie ich autorskiego backdoora, MucorAgent, pochodzi z listopada 2023 roku, choć aktywność prawdopodobnie rozpoczęła się wcześniej.
Cele strategiczne i taktyki
Celem Curly COMrades jest długotrwały dostęp do sieci, umożliwiający rozpoznanie, kradzież danych uwierzytelniających i głębsze działania boczne. Łączą standardowe techniki ataków z niestandardowymi implementacjami, aby wtopić się w legalne operacje systemowe. Ich kampania charakteryzuje się:
- Powtarzane próby i błędy w celu udoskonalenia dostępu
- Nadmiarowe metody zapewniające odporność
- Przyrostowe kroki konfiguracji w celu uniknięcia wykrycia
Kradzież danych uwierzytelniających w centrum uwagi
Atakujący wielokrotnie próbowali wykraść pliki bazy danych NTDS z kontrolerów domeny, atakując skróty haseł i dane uwierzytelniające. Próbowali również zrzucić zawartość pamięci LSASS z wybranych maszyn, dążąc do odzyskania aktywnych danych uwierzytelniających użytkowników, w tym potencjalnie haseł w postaci zwykłego tekstu.
Nadużywanie legalnych narzędzi w celu ukrycia
Cechą charakterystyczną działań Curly COMrades jest wykorzystywanie zaufanego oprogramowania i usług do maskowania złośliwych działań. Do najważniejszych narzędzi należą:
Resocks, SOCKS5, SSH i Stunnel – tworzenie wielu tuneli dostępu do sieci wewnętrznych i umożliwianie zdalnego wykonywania poleceń.
Legalne, ale zagrożone witryny internetowe – działające jako tajne przekaźniki ruchu C2 i eksfiltracji danych, mieszające się ze zwykłymi przepływami sieciowymi.
Dodatkowe narzędzia uzbrojone:
- CurlCat – dwukierunkowy transfer danych przez HTTPS przez zainfekowane witryny
- RuRat – legalne narzędzie RMM służące do trwałej kontroli
- Mimikatz – zbieranie danych uwierzytelniających z pamięci
- Typowe polecenia systemu Windows (netstat, tasklist, systeminfo, ipconfig, ping) służące do rozpoznania
- Skrypty programu PowerShell z narzędziem curl do dyskretnego wykradania danych
MucorAgent: niestandardowa broń zapewniająca trwałość
Sercem kampanii jest MucorAgent, specjalnie zaprojektowany backdoor .NET, który przejmuje identyfikatory klas COM (CLSID) powiązane z Native Image Generator (Ngen), wbudowanym komponentem .NET Framework.
Ngen, choć zaprojektowany do prekompilacji zestawów, może służyć jako ukryty mechanizm trwałości. Atakujący wykorzystują wyłączone zaplanowane zadanie powiązane z Ngen, które czasami uruchamia się nieprzewidywalnie, w okresach bezczynności lub podczas wdrożeń aplikacji, umożliwiając im przywrócenie dostępu na poziomie SYSTEMU bez wywoływania alarmów.
Implant MucorAgent działa w trzech etapach, wykonując zaszyfrowane skrypty PowerShell i wysyłając wyniki do serwerów kontrolowanych przez atakującego. Ładunki danych są ładowane do pamięci i natychmiast usuwane, pozostawiając minimalne ślady kryminalistyczne.
Metodyczny, adaptacyjny i przede wszystkim skryty
Curly COMrades preferują ukrycie nad nowością, polegając na publicznych narzędziach, programach open source i LOLBinach zamiast wykorzystywać luki zero-day. Ich działania kładą nacisk na trwałość i adaptowalność przy niskim poziomie szumów, wykorzystując zarówno standardowe, jak i niestandardowe narzędzia, aby utrzymać długoterminową kontrolę bez wzbudzania podejrzeń.
