Кудрявые товарищи APT
Ранее не зарегистрированная кибергруппа Curly COMrades была замечена в атаках на известные организации в Грузии и Молдавии. Эта кампания, по всей видимости, направлена на долгосрочное проникновение и сбор разведывательной информации в целевых сетях. Деятельность группы свидетельствует о её продуманном, настойчивом и скрытном подходе, соответствующем геополитическим интересам России.
Оглавление
Высокоценные цели и ранняя активность
С середины 2024 года группа сосредоточилась на судебных и государственных органах Грузии, а также на энергораспределительной компании в Молдове. Анализ артефактов атаки показывает, что операция началась раньше, чем предполагалось: самое раннее подтверждённое использование их собственного бэкдора MucorAgent датируется ноябрем 2023 года, хотя активность, вероятно, началась и раньше.
Стратегические цели и тактика
Целью Curly COMrades является длительный доступ к сети, позволяющий проводить разведку, кражу учетных данных и более глубокое горизонтальное продвижение. Они сочетают стандартные методы атак с индивидуальными реализациями, чтобы вписаться в легитимные системные операции. Их кампания характеризуется:
- Повторные пробы и ошибки для уточнения доступа
- Избыточные методы обеспечения устойчивости
- Поэтапные шаги настройки для избежания обнаружения
Кража учетных данных в основе
Злоумышленники неоднократно пытались извлечь файлы базы данных NTDS из контроллеров домена, атакуя хэши паролей и данные аутентификации. Они также пытались создать дамп памяти LSASS на выбранных машинах, стремясь восстановить активные учётные данные пользователей, включая возможные пароли в открытом виде.
Злоупотребление законными инструментами в целях скрытности
Отличительной чертой деятельности Curly COMrades является использование надёжного программного обеспечения и сервисов для маскировки вредоносной активности. Среди наиболее примечательных инструментов:
Resocks, SOCKS5, SSH и Stunnel — создание множественных туннелей доступа во внутренние сети и обеспечение возможности удаленного выполнения команд.
Легальные, но скомпрометированные веб-сайты , действующие как скрытые ретрансляторы для C2-трафика и утечки данных, смешивающиеся с обычными сетевыми потоками.
Дополнительные боевые утилиты:
- CurlCat – двунаправленная передача данных по HTTPS через скомпрометированные сайты
- RuRat – легитимный инструмент RMM, используемый для постоянного контроля
- Mimikatz – сбор учетных данных из памяти
- Распространенные команды Windows (netstat, tasklist, systeminfo, ipconfig, ping) для разведки
- Скрипты PowerShell с curl для скрытой утечки данных
MucorAgent: собственное оружие стойкости
В основе кампании лежит MucorAgent — специальный бэкдор .NET, который перехватывает идентификаторы классов COM (CLSID), связанные с Native Image Generator (Ngen), встроенным компонентом .NET Framework.
Несмотря на то, что Ngen предназначен для предварительной компиляции сборок, он может служить скрытым механизмом сохранения. Злоумышленники используют отключённую запланированную задачу, связанную с Ngen, которая иногда срабатывает непредсказуемо во время простоя или развёртывания приложений, позволяя им восстановить доступ на уровне SYSTEM без срабатывания оповещений.
Имплант MucorAgent работает в три этапа: выполняет зашифрованные скрипты PowerShell и отправляет результаты на серверы, контролируемые злоумышленником. Полезные данные загружаются в память и сразу же удаляются, оставляя минимальные криминалистические следы.
Методичный, адаптивный и скрытный
Кудрявые товарищи предпочитают скрытность новизне, полагаясь на общедоступные инструменты, утилиты с открытым исходным кодом и LOLBins вместо эксплуатации уязвимостей нулевого дня. Их действия делают упор на малошумную устойчивость и адаптивность, используя как распространённые, так и специализированные инструменты для поддержания долгосрочного контроля, не вызывая подозрений.
