Коврџави COMrades APT
Примећено је да је раније недокументована група за сајбер претње, названа Curly COMrades, циљала истакнуте субјекте у Грузији и Молдавији. Чини се да је ова кампања усмерена на дугорочну инфилтрацију и прикупљање обавештајних података унутар циљаних мрежа. Активности групе откривају прорачунат, упоран и прикривен приступ усклађен са геополитичким интересима Русије.
Преглед садржаја
Циљеви високе вредности и рана активност
Од средине 2024. године, група се фокусирала на правосудне и владине органе у Грузији и компанију за дистрибуцију енергије у Молдавији. Анализа артефаката напада показује да је операција почела раније него што се првобитно мислило, а најранија потврђена употреба њиховог прилагођеног бекдора, MucorAgent, датира из новембра 2023. године, иако је активност вероватно почела и пре тога.
Стратешки циљеви и тактике
Крајњи циљ за Curly COMrades је продужени приступ мрежи, што омогућава извиђање, крађу акредитива и дубље латерално кретање. Они комбинују стандардне технике напада са прилагођеним имплементацијама како би се уклопили у легитимне системске операције. Њихову кампању обележава:
- Понављани покушаји и грешке ради усавршавања приступа
- Редундантне методе за обезбеђивање отпорности
- Постепени кораци подешавања како би се избегло откривање
Крађа акредитива у сржи
Нападачи су више пута покушавали да украду датотеке NTDS базе података са контролера домена, циљајући хешеве лозинки и податке за аутентификацију. Такође су покушали да испразнију LSASS меморију са одабраних машина, циљајући на опоравак активних корисничких акредитива, укључујући могуће лозинке у отвореном тексту.
Злоупотреба легитимних алата за прикривено деловање
Карактеристика пословања компаније Curly COMrades је коришћење поузданог софтвера и услуга за маскирање злонамерних активности. Значајни алати укључују:
Resocks, SOCKS5, SSH и Stunnel – креирање вишеструких тунела за приступ интерним мрежама и омогућавање даљинског извршавања команди.
Легитимни, али компромитовани веб-сајтови – делују као тајни релеји за C2 саобраћај и крађу података, мешајући се са нормалним мрежним токовима.
Додатне оружане додатке:
- CurlCat – двосмерни пренос података преко HTTPS-а преко компромитованих сајтова
- RuRat – легитиман RMM алат који се користи за трајну контролу
- Мимикатз – прикупљање акредитива из сећања
- Уобичајене Windows команде (netstat, tasklist, systeminfo, ipconfig, ping) за извиђање
- PowerShell скрипте са curl-ом за прикривено извлачење података
MucorAgent: Прилагођено оружје за истрајност
У сржи кампање је MucorAgent, прилагођени .NET бекдор који отима COM идентификаторе класа (CLSID-ове) повезане са Native Image Generator-ом (Ngen), уграђеном .NET Framework компонентом.
Ngen, иако је дизајниран за претходно компајлирање склопова, може послужити као прикривени механизам перзистентности. Нападачи искоришћавају онемогућен заказани задатак повезан са Ngen-ом, који се повремено покреће непредвидиво, током периода неактивности или имплементације апликација, што им омогућава да обнове приступ на нивоу СИСТЕМА без покретања аларма.
Имплантат MucorAgent функционише у три фазе, извршавајући шифроване PowerShell скрипте и шаљући резултате на сервере које контролише нападач. Корисни подаци се учитавају у меморију и одмах након тога бришу, остављајући минималне форензичке трагове.
Методично, прилагодљиво и прикривено
Коврџави COMrade-ови показују склоност ка прикривености у односу на новину, ослањајући се на јавне алате, услужне програме отвореног кода и LOLBins уместо да користе рањивости нултог дана. Њихово пословање наглашава постојаност и прилагодљивост са ниским нивоом шума, користећи и уобичајене и прилагођене алате за одржавање дугорочне контроле без изазивања сумње.
