Curly Comrades APT
Un grup de amenințări cibernetice nedocumentat anterior, supranumit Curly COMrades, a fost observat vizând entități de profil înalt din Georgia și Moldova. Această campanie pare să fie orientată spre infiltrarea pe termen lung și colectarea de informații în cadrul rețelelor vizate. Activitățile grupului dezvăluie o abordare calculată, persistentă și orientată spre stealth, aliniată cu interesele geopolitice ale Rusiei.
Cuprins
Ținte de valoare ridicată și activitate timpurie
De la mijlocul anului 2024, grupul s-a concentrat asupra organismelor judiciare și guvernamentale din Georgia și asupra unei companii de distribuție a energiei din Moldova. Analiza artefactelor atacului arată că operațiunea a început mai devreme decât se credea inițial, cea mai veche utilizare confirmată a backdoor-ului lor personalizat, MucorAgent, datând din noiembrie 2023, deși activitatea a început probabil înainte de această perioadă.
Obiective strategice și tactici
Scopul final al Curly COMrades este accesul prelungit la rețea, permițând recunoașterea, furtul de acreditări și o mișcare laterală mai profundă. Aceștia combină tehnici de atac standard cu implementări personalizate pentru a se integra în operațiunile legitime ale sistemului. Campania lor este marcată de:
- Încercări repetate și erori pentru a rafina accesul
- Metode redundante pentru asigurarea rezilienței
- Pași incrementali de configurare pentru a evita detectarea
Furtul de acreditări în centrul atenției
Atacatorii au încercat în mod repetat să exfiltreze fișierele bazei de date NTDS de pe controlerele de domeniu, vizând hash-urile parolelor și datele de autentificare. De asemenea, au încercat să extragă memoria LSASS de pe anumite mașini, cu scopul de a recupera acreditările utilizatorilor activi, inclusiv posibile parole în text simplu.
Abuzul de instrumente legitime pentru ascundere
O caracteristică a operațiunilor Curly COMrades este utilizarea de software și servicii de încredere pentru a masca activitățile rău intenționate. Printre instrumentele notabile se numără:
Resocks, SOCKS5, SSH și Stunnel – crearea de tuneluri de acces multiple în rețele interne și permiterea executării comenzilor la distanță.
Site-uri web legitime, dar compromise – acționând ca relee secrete pentru traficul C2 și exfiltrarea datelor, amestecându-se cu fluxurile normale de rețea.
Utilități suplimentare înarmate:
- CurlCat – transfer bidirecțional de date prin HTTPS prin intermediul site-urilor compromise
MucorAgent: O armă de persistență personalizată
În centrul campaniei se află MucorAgent, un backdoor .NET personalizat care deturnează identificatorii de clasă COM (CLSID) conectați la Native Image Generator (Ngen), o componentă .NET Framework încorporată.
Ngen, deși este conceput pentru a precompila ansambluri, poate servi ca un mecanism de persistență ascuns. Atacatorii exploatează o sarcină programată dezactivată, legată de Ngen, care se declanșează ocazional imprevizibil, în timpul perioadelor de inactivitate sau al implementărilor de aplicații, permițându-le să restabilească accesul la nivel de SISTEM fără a declanșa alarme.
Implantul MucorAgent funcționează în trei etape, executând scripturi PowerShell criptate și trimițând rezultatele către serverele controlate de atacatori. Datele utile sunt încărcate în memorie și șterse imediat după aceea, lăsând urme minime de investigație criminalistică.
Metodic, adaptiv și discret
Curly COMrades demonstrează o preferință pentru stealth în detrimentul noutății, bazându-se pe instrumente publice, utilități open-source și LOLBins în loc să exploateze vulnerabilități zero-day. Operațiunile lor pun accent pe persistența și adaptabilitatea cu zgomot redus, utilizând atât instrumente comune, cât și personalizate pentru a menține controlul pe termen lung fără a stârni suspiciuni.
