Kučeravé COMrades APT
Bola pozorovaná doteraz nezdokumentovaná skupina kybernetických hrozieb s názvom Curly COMrades, ktorá sa zameriava na významné subjekty v Gruzínsku a Moldavsku. Zdá sa, že táto kampaň je zameraná na dlhodobú infiltráciu a zhromažďovanie spravodajských informácií v rámci cieľových sietí. Aktivity skupiny odhaľujú premyslený, vytrvalý a nenápadný prístup, ktorý je v súlade s geopolitickými záujmami Ruska.
Obsah
Ciele s vysokou hodnotou a skorá aktivita
Od polovice roka 2024 sa skupina zameriava na súdne a vládne orgány v Gruzínsku a na energetickú distribučnú spoločnosť v Moldavsku. Analýza artefaktov útoku ukazuje, že operácia sa začala skôr, ako sa pôvodne predpokladalo, pričom najstaršie potvrdené použitie ich vlastného zadného vrátka MucorAgent pochádza z novembra 2023, hoci aktivita pravdepodobne začala už predtým.
Strategické ciele a taktiky
Cieľom Curly COMrades je predĺžený prístup k sieti, ktorý umožňuje prieskum, krádež poverení a hlbší laterálny pohyb. Kombinujú štandardné útočné techniky s vlastnými implementáciami, aby splynuli s legitímnymi systémovými operáciami. Ich kampaň sa vyznačuje:
- Opakované pokusy a omyly na spresnenie prístupu
- Redundantné metódy na zabezpečenie odolnosti
- Postupné nastavenie, aby sa predišlo odhaleniu
Krádež poverení v jadre
Útočníci sa opakovane pokúšali získať databázové súbory NTDS z radičov domény, pričom sa zameriavali na hash hesiel a autentifikačné údaje. Taktiež sa pokúšali vypísať pamäť LSASS z vybraných počítačov s cieľom získať aktívne používateľské prihlasovacie údaje vrátane možných hesiel v otvorenom texte.
Zneužívanie legitímnych nástrojov na utajenie
Charakteristickým znakom spoločnosti Curly COMrades je používanie dôveryhodného softvéru a služieb na maskovanie škodlivej aktivity. Medzi významné nástroje patria:
Resocks, SOCKS5, SSH a Stunnel – vytváranie viacerých prístupových tunelov do interných sietí a umožnenie vzdialeného vykonávania príkazov.
Legitímne, ale kompromitované webové stránky – fungujú ako skryté prenosové kanály pre prevádzku C2 a únik údajov, ktoré sa prelínajú s bežnými sieťovými tokmi.
Ďalšie zbraňové nástroje:
- CurlCat – obojsmerný prenos dát cez HTTPS cez napadnuté stránky
- RuRat – legitímny nástroj RMM používaný na trvalú kontrolu
- Mimikatz – získavanie poverení z pamäte
- Bežné príkazy systému Windows (netstat, tasklist, systeminfo, ipconfig, ping) na prieskum
- PowerShell skripty s Curl pre nenápadné odhalenie údajov
MucorAgent: Zbraň na vytrvalosť na mieru
Jadrom kampane je MucorAgent, na mieru vyrobený backdoor pre .NET, ktorý zneužíva identifikátory tried COM (CLSID) prepojené s generátorom natívnych obrázkov (Ngen), čo je vstavaná súčasť rozhrania .NET Framework.
Ngen, hoci je navrhnutý na predkompiláciu zostáv, môže slúžiť ako skrytý mechanizmus perzistencie. Útočníci zneužívajú zakázanú naplánovanú úlohu viazanú na Ngen, ktorá sa občas spúšťa nepredvídateľne, počas nečinnosti alebo nasadenia aplikácií, čo im umožňuje obnoviť prístup na úrovni SYSTÉMU bez spustenia alarmov.
Implantát MucorAgent funguje v troch fázach, pričom vykonáva šifrované skripty PowerShellu a odosiela výsledky na servery ovládané útočníkom. Údaje sa načítajú do pamäte a ihneď po ich vykonaní sa odstránia, čím sa zanechávajú minimálne forenzné stopy.
Metodické, adaptívne a nenápadné
Kučeraví COMrades uprednostňujú utajenie pred novosťou, spoliehajú sa na verejné nástroje, open-source utility a LOLBiny, namiesto toho, aby zneužívali zraniteľnosti typu zero-day. Ich operácie kladú dôraz na nízkošumovú perzistenciu a prispôsobivosť, pričom používajú bežné aj prispôsobené nástroje na udržanie dlhodobej kontroly bez vzbudzovania podozrenia.
