Curly COMrades APT
Një grup kërcënimesh kibernetike i padokumentuar më parë, i quajtur Curly COMrades, është vërejtur duke synuar subjekte të profilit të lartë në Gjeorgji dhe Moldavi. Kjo fushatë duket se është e orientuar drejt infiltrimit afatgjatë dhe mbledhjes së inteligjencës brenda rrjeteve të synuara. Aktivitetet e grupit zbulojnë një qasje të llogaritur, këmbëngulëse dhe të orientuar drejt fshehtësisë, në përputhje me interesat gjeopolitike të Rusisë.
Tabela e Përmbajtjes
Objektiva me Vlerë të Lartë dhe Aktivitet i Hershëm
Që nga mesi i vitit 2024, grupi është përqendruar në organet gjyqësore dhe qeveritare në Gjeorgji dhe në një kompani shpërndarjeje të energjisë në Moldavi. Analiza e objekteve të sulmit tregon se operacioni filloi më herët nga sa mendohej fillimisht, përdorimi më i hershëm i konfirmuar i derës së tyre të pasme të personalizuar, MucorAgent, daton që nga nëntori i vitit 2023, megjithëse aktiviteti ka të ngjarë të ketë filluar më parë.
Qëllimet dhe Taktikat Strategjike
Qëllimi përfundimtar për Curly COMrades është qasja e zgjatur në rrjet, duke mundësuar zbulimin, vjedhjen e kredencialeve dhe lëvizjen më të thellë anësore. Ata kombinojnë teknikat standarde të sulmit me zbatime të personalizuara për t'u përshtatur me operacionet legjitime të sistemit. Fushata e tyre karakterizohet nga:
- Prova dhe gabime të përsëritura për të rafinuar aksesin
- Metoda të tepërta për të siguruar qëndrueshmëri
- Hapat e konfigurimit gradual për të shmangur zbulimin
Vjedhja e kredencialeve në thelb
Sulmuesit u përpoqën në mënyrë të përsëritur të nxjerrin skedarët e bazës së të dhënave NTDS nga kontrolluesit e domenit, duke synuar hash-et e fjalëkalimeve dhe të dhënat e autentifikimit. Ata gjithashtu u përpoqën të shkarkonin memorien LSASS nga makina të zgjedhura, me qëllim rikuperimin e kredencialeve aktive të përdoruesve, duke përfshirë fjalëkalime të mundshme me tekst të thjeshtë.
Abuzimi i mjeteve legjitime për fshehtësi
Një tipar dallues i operacioneve të Curly COMrades është përdorimi i softuerëve dhe shërbimeve të besuara për të maskuar aktivitetin keqdashës. Mjete të rëndësishme përfshijnë:
Resocks, SOCKS5, SSH dhe Stunnel – duke krijuar tunele të shumëfishta aksesi në rrjetet e brendshme dhe duke mundësuar ekzekutimin e komandave në distancë.
Faqe interneti legjitime, por të kompromentuara – që veprojnë si stafetë të fshehta për trafikun C2 dhe nxjerrjen e të dhënave, duke u përzier me rrjedhat normale të rrjetit.
Shërbime shtesë të armatosura:
- CurlCat – transferim dypalësh i të dhënave mbi HTTPS nëpërmjet faqeve të kompromentuara
MucorAgent: Një armë këmbënguljeje e personalizuar
Në zemër të fushatës është MucorAgent, një derë e pasme .NET e krijuar me porosi që rrëmben Identifikuesit e Klasës COM (CLSID) të lidhur me Gjeneratorin e Imazheve Native (Ngen), një komponent i integruar i .NET Framework.
Ngen, megjithëse i projektuar për të para-kompiluar asamble, mund të shërbejë si një mekanizëm i fshehtë i këmbënguljes. Sulmuesit shfrytëzojnë një detyrë të planifikuar të çaktivizuar të lidhur me Ngen, e cila herë pas here aktivizohet në mënyrë të paparashikueshme, gjatë kohërave të mosveprimit ose vendosjes së aplikacioneve, duke u lejuar atyre të rivendosin aksesin në nivel SISTEM pa shkaktuar alarme.
Implanti MucorAgent vepron në tre faza, duke ekzekutuar skripte të koduara PowerShell dhe duke dërguar rezultatet në serverat e kontrolluar nga sulmuesi. Ngarkesat ngarkohen në memorie dhe fshihen menjëherë më pas, duke lënë gjurmë minimale forenzike.
Metodik, Adaptiv dhe i Padukshëm
COMrades-et Curly demonstrojnë një preferencë për fshehtësinë ndaj risisë, duke u mbështetur në mjete publike, shërbime me burim të hapur dhe LOLBins në vend që të shfrytëzojnë dobësitë zero-day. Operacionet e tyre theksojnë qëndrueshmërinë dhe përshtatshmërinë me zhurmë të ulët, duke përdorur mjete të zakonshme dhe të personalizuara për të ruajtur kontrollin afatgjatë pa ngritur dyshime.
