Kodrasti COMrades APT
Opažena je bila prej nedokumentirana skupina za kibernetske grožnje, poimenovana Curly COMrades, ki je ciljala na visokoprofilne subjekte v Gruziji in Moldaviji. Zdi se, da je ta kampanja usmerjena v dolgoročno infiltracijo in zbiranje obveščevalnih podatkov znotraj ciljnih omrežij. Dejavnosti skupine razkrivajo premišljen, vztrajen in prikrit pristop, usklajen z geopolitičnimi interesi Rusije.
Kazalo
Visokovredni cilji in zgodnja aktivnost
Od sredine leta 2024 se je skupina osredotočila na sodne in vladne organe v Gruziji ter podjetje za distribucijo energije v Moldaviji. Analiza artefaktov napada kaže, da se je operacija začela prej, kot se je sprva mislilo, najzgodnejša potrjena uporaba njihovega lastnega zadnjega vrata, MucorAgent, sega v november 2023, čeprav se je aktivnost verjetno začela že prej.
Strateški cilji in taktike
Končni cilj podjetja Curly COMrades je podaljšan dostop do omrežja, ki omogoča izvidovanje, krajo poverilnic in globlje lateralno gibanje. Standardne tehnike napadov združujejo s prilagojenimi implementacijami, da se zlijejo z legitimnimi sistemskimi operacijami. Njihovo kampanjo zaznamujejo:
- Ponavljajoče se poskuse in napake za izboljšanje dostopa
- Redundantne metode za zagotavljanje odpornosti
- Postopni koraki nastavitve za preprečevanje odkrivanja
Kraja poverilnic v središču
Napadalci so večkrat poskušali iz krmilnikov domen izvleči datoteke baze podatkov NTDS, pri čemer so ciljali na zgoščene vrednosti gesel in podatke za preverjanje pristnosti. Prav tako so poskušali izpisati pomnilnik LSASS iz izbranih računalnikov, da bi obnovili aktivne uporabniške poverilnice, vključno z morebitnimi gesli v navadnem besedilu.
Zloraba legitimnih orodij za prikrite namene
Za delovanje podjetja Curly COMrades je značilna uporaba zaupanja vredne programske opreme in storitev za prikrivanje zlonamernih dejavnosti. Med pomembnimi orodji so:
Resocks, SOCKS5, SSH in Stunnel – ustvarjanje več dostopnih tunelov v notranja omrežja in omogočanje oddaljenega izvajanja ukazov.
Legitimna, a ogrožena spletna mesta – delujejo kot prikriti releji za promet C2 in izkrcavanje podatkov, ki se mešajo z običajnimi omrežnimi tokovi.
Dodatne orožne pripomočke:
- CurlCat – dvosmerni prenos podatkov prek HTTPS prek ogroženih spletnih mest
- RuRat – legitimno orodje RMM, ki se uporablja za trajen nadzor
- Mimikatz – pridobivanje poverilnic iz spomina
- Pogosti ukazi sistema Windows (netstat, tasklist, systeminfo, ipconfig, ping) za izvidovanje
- Skripti PowerShell s curlom za prikrito izkrcanje podatkov
MucorAgent: Orožje za vztrajnost po meri
V središču kampanje je MucorAgent, poseben .NET backdoor, ki ugrabi identifikatorje razredov COM (CLSID), povezane z Native Image Generator (Ngen), vgrajeno komponento ogrodja .NET Framework.
Čeprav je Ngen zasnovan za predhodno prevajanje sklopov, lahko služi kot prikrit mehanizem za ohranjanje delovanja. Napadalci izkoristijo onemogočeno načrtovano nalogo, povezano z Ngenom, ki se občasno sproži nepredvidljivo, med nedejavnostjo ali uvajanjem aplikacij, kar jim omogoča, da obnovijo dostop na ravni SISTEMA, ne da bi sprožili alarme.
Vsadek MucorAgent deluje v treh fazah: izvaja šifrirane skripte PowerShell in rezultate pošilja na strežnike, ki jih nadzoruje napadalec. Uporabni tovor se naloži v pomnilnik in takoj zatem izbriše, kar pušča minimalne forenzične sledi.
Metodično, prilagodljivo in neopazno
Curly COMrades dajejo prednost prikritosti pred novostmi, pri čemer se zanašajo na javna orodja, odprtokodne pripomočke in LOLBine, namesto da bi izkoriščali ranljivosti ničelnega dne. Njihovo delovanje poudarja vztrajnost in prilagodljivost z nizkim šumom, pri čemer uporabljajo tako običajna kot prilagojena orodja za ohranjanje dolgoročnega nadzora, ne da bi pri tem vzbujali sum.
