Rabattoffert för flera licenser
Hotdatabas Advanced Persistent Threat (APT) Curly COMrades APT

Curly COMrades APT

Med Mezo år Advanced Persistent Threat (APT), Skadlig programvara
Översätt till:

En tidigare odokumenterad cyberhotsgrupp, kallad Curly COMrades, har observerats med inriktning på högprofilerade enheter i Georgien och Moldavien. Denna kampanj verkar vara inriktad på långsiktig infiltration och underrättelseinsamling inom utvalda nätverk. Gruppens aktiviteter visar på en beräknande, ihållande och smygorienterad strategi i linje med Rysslands geopolitiska intressen.

Högvärdiga mål och tidig aktivitet

Sedan mitten av 2024 har gruppen fokuserat på rättsliga och statliga organ i Georgien och ett energidistributionsföretag i Moldavien. Analys av attackartefakter visar att operationen började tidigare än man först trodde, den tidigaste bekräftade användningen av deras specialbyggda bakdörr, MucorAgent, går tillbaka till november 2023, även om aktiviteten troligen började innan dess.

Strategiska mål och taktiker

Slutmålet för Curly COMrades är förlängd nätverksåtkomst, vilket möjliggör rekognoscering, stöld av autentiseringsuppgifter och djupare lateral förflyttning. De kombinerar standardattacktekniker med anpassade implementeringar för att smälta in i legitima systemoperationer. Deras kampanj kännetecknas av:

  • Upprepade försök och fel för att förfina åtkomsten
  • Redundanta metoder för att säkerställa motståndskraft
  • Stegvisa installationssteg för att undvika upptäckt

Stöld av autentiseringsuppgifter i grunden

Angriparna försökte upprepade gånger stjäla NTDS-databasfiler från domänkontrollanter, med inriktning på lösenordshash och autentiseringsdata. De försökte också dumpa LSASS-minne från utvalda maskiner i syfte att återställa aktiva användaruppgifter, inklusive möjliga lösenord i klartext.

Missbruk av legitima verktyg för smygande

Ett kännetecken för Curly COMrades verksamhet är användningen av betrodd programvara och tjänster för att maskera skadlig aktivitet. Bland de anmärkningsvärda verktygen finns:

Resocks, SOCKS5, SSH och Stunnel – skapar flera åtkomsttunnlar till interna nätverk och möjliggör fjärrkörning av kommandon.

Legitima men komprometterade webbplatser – fungerar som hemliga reläer för C2-trafik och dataexfiltrering, och blandas med normala nätverksflöden.

Ytterligare beväpnade verktyg:

  • CurlCat – dubbelriktad dataöverföring via HTTPS via komprometterade webbplatser
  • RuRat – ett legitimt RMM-verktyg som används för ihållande kontroll
  • Mimikatz – insamling av referenser från minnet
  • Vanliga Windows-kommandon (netstat, tasklist, systeminfo, ipconfig, ping) för rekognoscering
  • PowerShell-skript med curl för smygande dataexfiltrering

    • MucorAgent: Ett anpassat uthållighetsvapen

    I hjärtat av kampanjen finns MucorAgent, en skräddarsydd .NET-bakdörr som kapar COM-klassidentifierare (CLSID) länkade till Native Image Generator (Ngen), en inbyggd .NET Framework-komponent.

    Ngen, även om den är utformad för att förkompilera assemblies, kan fungera som en dold persistensmekanism. Angriparna utnyttjar en inaktiverad schemalagd uppgift kopplad till Ngen, som ibland utlöses oförutsägbart under inaktivitet eller applikationsdistributioner, vilket gör att de kan återställa åtkomst på SYSTEM-nivå utan att utlösa larm.

    MucorAgent-implantatet fungerar i tre steg, där det kör krypterade PowerShell-skript och skickar resultaten till angriparkontrollerade servrar. Nyttolaster laddas in i minnet och raderas omedelbart efteråt, vilket lämnar minimala spår efter sig.

    Metodisk, adaptiv och smygande

    Curly COMrades visar en preferens för stealth framför nyhet, och förlitar sig på publika verktyg, öppen källkod och LOLBins snarare än att utnyttja nolldagssårbarheter. Deras verksamhet betonar lågbrusighet och anpassningsförmåga, och använder både vanliga och anpassade verktyg för att upprätthålla långsiktig kontroll utan att väcka misstankar.

    Trendigt

    Mest sedda

    Läser in...